WooYun.org

在一切开始之前，我们先来说明几个基本的问题。
1.SWF如何被嵌入HTML页面的
此处所说的嵌入，就是指当你打开一个网页，这个网页中包含着SWF媒体文件，通常是embed或者object标签的形式。SWF嵌入HTML时，embed或者object标签通常还含有几个特定的属性，关键的有allowScriptAccess以及allowNetworking。
allowScriptAccess控制着SWF文件与HTML页面通信的级别，这里所说的通信，包括但不仅限于让SWF执行JS，还囊括了从JS调用SWF里预留出的api接口。
allowScriptAccess有以下三个值：

always 		允许任意SWF文件与HTML页面通信。
never 		禁止任意SWF文件与HTML页面通信。
samedomain 	只有在SWF文件来自与HTML页相同的域时才允许通信。
当未指定allowScriptAccess时，samedomain为默认值。

allowNetworking控制着SWF文件与WEB通信的级别，这里所说的通信，基本上就是发送、读取网络上的资源文件，以及控制浏览器的页面导航。
allowNetworking有以下三个值：

all 		无任何限制。
internal 	禁止控制浏览器页面导航的函数。
none 		禁止任何网络通信。
当未指定allowNetworking时，all为默认值。

2.我直接打开SWF文件时发生了什么
如果你在直接打开SWF文件时，使用IE开发者工具或者Firebug查看DOM源码就会发现，其实你打开的还是一个HTML页面，页面的内容只有一行代码：

<embed type="application/x-shockwave-flash" src="[SWF URL]" name="plugin" height="100%" width="100%">

前面我们已经讲了两个基本的属性，这里都没有指定，那么Flash Player自动取其默认值：allowScriptAccess=samedomain & allowNetworking=all.

在明白了上面两点之后，我们就能下面几个容易让人混淆的问题作出解答：

- a.com 的html页面 embed 了一个 b.com 的xss.swf，脚本执行域是哪个域？
- a.com 因为swf并不能执行JS，我们见到的他所执行的JS，其实是flash player通过调用承载他的html页面的js来实现的，所以是a.com。

- a.com 的html页面 iframe 了一个 b.com 的xss.swf，脚本执行域是哪个域？
- b.com 因为iframe了一个swf，其实是iframe了一个只有一行代码的HTML页面，html页面的域是b.com，故脚本的执行域也是b.com。

- a.com/load.swf能够加载任意的swf，我直接打开http://a.com/load.swf?url=http://b.com/xss.swf，能不能执行脚本？
- 不能，因为直接打开一个swf，他的allowScriptAccess是samedomain，而xss.swf的域是b.com，所以不能执行JS。

Flash里能执行JS的脚本函数有以下：

getURL(AS2) / navigateToURL (AS3)
flash.external.ExternalInterface.call(methodName:String, [parameter1:Object])

我们只需要搜索getURL/navigateToURL/ExternalInterface.call等关键字，然后在逆溯变量是否可控，就可以找到一些最基本的XSS漏洞。
以360的这个swf为例，
搜索ExternalInterface.call，我们发现了下面的代码。

public static function initLanguage() : void
{
	var _loc_1:* = null;
	Param.language = {};
	if (ExternalInterface.available)
	{
		_loc_1 = ExternalInterface.call(Param.jsLang);
		if (_loc_1 != null)
		{
			Param.language["CX0189"] = _loc_1["CX0189"];
			Param.language["CX0193"] = _loc_1["CX0193"];
			_loc_1 = null;
		}
	}
	return;
}

回溯Param.jsLang

this.parameter = this.loaderInfo.parameters;
...
Param.jsFunc = this.parameter["jsfunc"];
...
Param.initLanguage()

这里的loaderInfo.parameters就是接受外部以flashvars或者类似a.swf?a=va&b=vb形式传入的变量和值。
这里我们打开 http://wan.360.cn/swf/avatar.swf?jslang=alert(1)

这里我们也许还有一个疑问，在官方的帮助文档里，flash.external.ExternalInterface.call可以接受两个参数，第一个是methodName，第二个是要传入的变量，那么对于上面的poc，正确的调用方法应该是flash.external.ExternalInterface.call("alert","1")才是，为什么flash.external.ExternalInterface.call("alert(1)")也能成功。
我们打开ie的调试工具，借用80vul.com上的demo，看看swf执行js时候发生了什么。
首先打开的是http://www.80vul.com/xss.swf?a=alert&b=1

try { __flash__toXML(alert("1")) ; } catch (e) { "<undefined/>"; }

__flash__toXML是将函数执行的结果进行编码后传回SWF的函数，外面再嵌套了一层容错语句，看来一切和预想的一样
再打开http://www.80vul.com/xss.swf?a=alert(2)&b=1

try { __flash__toXML(alert(2)("1")) ; } catch (e) { "<undefined/>"; }

JS先执行了alert(2)，弹出对话框。
再单步进入

alert函数没有返回值，alert(2)("1")出错，所以跳到了catch语句
这样一来，就能解释为什么即使不按adobe的文档说明的方法进行调用，也能执行js了，再多说一句，由于这样会引起出错导致SWF接收不到JS返回的值，所以在某些特定的情况下，我们要对插入的函数进行进一步的变化，比如
http://www.80vul.com/xss.swf?a=(function(_a){alert(_a);return function(_z){prompt(2,3)};return 5})(1)&b=4
这样，SWF就可以接收到我们可以任意构造的返回值 5 了。
原始SWF下载：http://swfpoc.appspot.com/vul/wan.360.cn_swf_avatar.swf