$allowedtags = array('a' => array('href' => true,
'title' => true,),
'abbr' => array('title' => true,),
'acronym' => array('title' => true,),
'b' => array(),
'blockquote' => array('cite' => true,),
'cite' => array(),
'code' => array(),
'del' => array('datetime' => true,),
'em' => array(),
'i' => array(),
'q' => array('cite' => true,),
'strike' => array(),
'strong' => array(),);
wordpress只会允许白名单中的标签出现,而在每个以标签名作为数组名的数组中,保存的是该标签下所允许出现的属性。
正常情况是不允许类似于onmouseover之类的属性出现的,我们使用poc进行测试
在IE下面提交评论后可以发现,成功弹窗,代码如下图
可以看出,在poc中,onmouseover是在双引号内作为title属性的值出现的,而当特殊字符起到了截断的作用之后,该条评论的内容在数据库中保存如下
其中左边的双引号在输出的时候,会被替换,而另外一个包裹onmouseover的双引号被截断未存入数据库,此时的onmouseover成功变成了一个未在白名单允许范围之内的事件,并且被成功解析。
而用超过固定长度来构造截断与此同理。
此时则成功将右边的双引号和尖括号截断,导致其并未进入数据库,如下图所示
漏洞利用
Klikki Oy团队给出了兼容多种浏览器的POC,chrome,IE,firefox测试成功
style=position:absolute;left:0;top:0;width:5000px;height:5000px 此处用特殊字符或者长度截断均可’>
结合此poc,引用外部js,利用wordpress管理员在后台编辑模板的功能,可进行自动化的getshell,之前爆出wordpress xss时已有人发出,此处不再赘述
漏洞影响范围
特殊字符截断影响版本:WordPress < 4.1.2 (需要mysql使用utf8字符集且strict mode关闭)
超过长度截断影响版本:WordPress < =4.2
此次漏洞利用的为mysql的特性,其他使用mysql的cms可能也会出现类似问题。
拦截建议
waf对两种xss拦截,建议如下:
1 字符截断:针对评论请求中带有图中范围内的字符,予以拦截
2 长度截断: 评论请求超过64KB予以拦截
具体情况还请waf同学斟酌
修复建议
针对超长截断,官方暂未给出补丁,所以建议临时关闭评论功能,防范此次的xss
-------------我的总结--------------
1. mysql字符编码最好采用utf-8mb4(或latin1)
2. mysql一定采用strict mode(mysql5.7好像已经是默认严格模式了)
3. 长度超过,程序就应该进行处理,所以还是程序写的不严谨
4. XSS 白名单
5. 该攻击的原理是,利用mysql在处理特殊字符和超长字符时,其会进行截断,所以导致了最后的 " 被截断了,导致了引号"没有被关闭,所以导致了浏览器将标签的属性当成了js代码来执行。
6.
7. 存储型XSS,需要鼠标移动到上面才会触发。
676
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
