漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-016803
漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 21. 存储型XSS进阶 [猜测规则,利用Flash addCallback构造XSS]
相关厂商:腾讯
漏洞作者: 心伤的瘦子
提交时间:2013-01-01 21:44
修复时间:2013-02-15 21:44
公开时间:2013-02-15 21:44
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-01: 细节已通知厂商并且等待厂商处理中
2013-01-05: 厂商已经确认,细节仅向厂商公开
2013-01-15: 细节向核心白帽子及相关领域专家公开
2013-01-25: 细节向普通白帽子公开
2013-02-04: 细节向实习白帽子公开
2013-02-15: 细节向公众公开
简要描述:
有些时候,我们拿现成的XSS代码都不行,都被过滤了,那么需要我们对过滤的规则进行一定的判断与猜测。然后针对性的使用一些技巧来适应或者绕过规则。
在本例中,我们以QQ空间/QQ校友的日志功能为例,通过猜测简单的过滤规则,然后使用含有addCallback的flash,来实现了存储型XSS的构造。
详细说明:
1. 前提:本例需在IE9,IE10下进行。
2. 我们乌云上报告的一些已有案例,进行了再次测试。
WooYun: PKAV腾讯专场 - 6. (QQ空间+朋友网)日志功能存储型XSS
上例中,提到了QQ空间日志并未对object标签进行有效的过滤。
3. 我们根据此例中的代码对过滤规则进行测试:
以上的代码,是可以正常提交,并且未过滤的。
而当swf的域名不是qzs.qq.com时候,代码将会被过滤为以下内容。
即地址被去掉了。
4. 那么我们已知了这个过滤规则, 就有2种绕过的方式。
4.1 找到一个qzs.qq.com域名下存在缺陷的FLASH,然后加以利用。
此方法,已经在 @gainover 的 WooYun: PKAV腾讯专场 - 6. (QQ空间+朋友网)日志功能存储型XSS 有所介绍了。
4.2 利用Flash的addcallback缺陷来构造存储型XSS。
5. 首先说下flash addcallback方法的基本原理。
根据flash sdk 里的源代码,我们可以得到flash addcallback 的源代码中有以下代码。
其中objectID为调用FLASH的HTML标签的ID。functionName则为被JS所调用的函数名称。
6. 当我们有以下代码时:
且http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf 中存在一句
ExternalInterface.addCallback("myfunc",funcInFlash);
则有
代入上面那句_evalJS中,则有
7. 那么我们可以想象一下,如果 aaaa 替换为 aaaa"),alert(1),("
则上面代码变为
解析:
8. 且FLASH中,确实未对objectID做任何过滤。 基于以上内容,我们可以构建利用代码。
我们自己用上面这段代码先在自己网站上测试下:
看,果然id里的代码被执行了!
9. 利用以上原理,接着我们在QQ空间里来做测试,至于FLASH么,就是现成的!
虽然这个FLASH里没有缺陷,但是存在addCallback的调用,我们就可以直接用它。
发布日志,使用以上代码
10. 当用户访问含有XSS代码的日志后,我们可以在xsser.me查看所记录的cookies内容。
漏洞证明:
见详细说明,仅IE9, 10 受影响。QQ空间/校友同时受影响。
修复方案:
1. 过滤object标签
2. 设置allowscriptaccess为never ,即使设置为 sameDomain, 也可能找到同域下含有addCallback调用的FLASH。
版权声明:转载请注明来源 心伤的瘦子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2013-01-05 10:29
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无