WooYun.org

打开音悦台主站，UI做的不错，挺清新的。
Chrome看了一下请求包，页面展示过程中加载了3个Flash

第一个是阿里云的一个Flash文件，之前就是这个Flash被报的XSS Rootkit漏洞，现在已经做了比较好的过滤。
第二个Flash也同样的对很多特殊字符做了过滤。
第三个Flash是音悦台自己的一个Flash，会记录mv播放列表、播放器状态等等一系列数据。
注意到之前这个Flash同样存在XSS Rootkit漏洞。我们来看看现在是如何修复的，
Flash中添加的JavascriptAPI：

这些API中getData对应的具体ActionScript代码：

这个函数接口返回值是一个json数据，并没有对返回值做校验、过滤等操作。
那修复漏洞时，做了哪些整改呢
可以看到Flash的Security.allowDomain 已经做了限制：

这样的话就不能直接在第三方页面上对这个Flash的lso进行操作了。
但是仅仅是这样做限制，并不能解决Rootkit的问题，也就是说在上图任一域下，如果存在可控来操作Flash lso内容的漏洞，如：XSS，就可以植入Rootkit。
所以为了利用这个Rootkit的漏洞，就得在这些域名下再找一个XSS漏洞。
UGC内容比较多的i.yinyuetai.com，却不在上述域名范围内，比较蛋疼。
简单看了下富文本编辑器，一般的过滤也都做了。去绕的话，估计也比较花时间。
蛋疼之余又回来看了下 flashlocalstorage.swf 这个Flash，于是看到了另外一个容易出现问题Flash JS接口

跟一下参数this._provider.config.readycallback，果然是可控的：

这样就完美了，这个域名也是范围内的
http://s.yytcdn.com/swf/common/flashlocalstorage.swf?t=20150227&readycallback=alert(1)

后面就很简单了。调一下POC，短网址搞一个。

http://s.yytcdn.com/swf/common/flashlocalstorage.swf?t=20150227&readycallback=eval(String.fromCharCode(100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,101,109,98,101,100,34,41,91,48,93,46,115,101,116,68,97,116,97,40,39,112,108,97,121,108,105,115,116,68,97,116,97,39,44,39,116,101,115,116,92,92,34,125,41,59,97,108,101,114,116,40,47,104,97,99,107,101,100,32,98,121,32,113,119,101,114,116,121,47,41,59,47,47,123,92,92,34,39,44,39,99,97,108,108,98,97,99,107,39,41))

当然也可以自己搞个隐蔽点的页面，iframe引用这个poc。利用方式就可以跟Flash XSS Rootkit一样了。
像这样

然后这样

POC代码换成利用代码，就可以 大范围、持久、Rootkit用户啦，Cookie也没httponly，任意利用啊
赶紧修复吧~