Flash XSS漏洞快速上手

最新推荐文章于 2024-09-12 14:02:20 发布

J0hnson666

最新推荐文章于 2024-09-12 14:02:20 发布

阅读量1k

点赞数 1

分类专栏： # XSS漏洞文章标签： flash xss 安全漏洞反编译

原文链接：https://www.cnblogs.com/-qing-/p/10853379.html

版权

XSS漏洞专栏收录该内容

28 篇文章 11 订阅

订阅专栏

本文详细介绍了Flash XSS（Cross-Site Scripting）的原理，通过ExternalInterface.call函数调用JavaScript来触发XSS的例子，以及如何通过构造恶意MP3文件标题实现本地XSS攻击的实战演示。通过理解这一技术，读者可以更好地了解Web安全中的Flash XSS漏洞及防范措施。

摘要由CSDN通过智能技术生成

0x01 Flash XSS

xss一是指执行恶意js，那么为什么说flash xss呢？是因为flash有可以调用js的函数，也就是可以和js通信，因此这些函数如果使用不当就会造成xss。常见的可触发xss的危险函数有：getURL，navigateToURL，ExternalInterface.call，htmlText，loadMovie等等

0x02 ExternalInterface.call举例

AS中ExternalInterface类是用来和js通信的，调用方法是用来调用js函数的，函数原型

ExternalInterface.call（functionName：字符串，...参数）：*

     fuctionName：要调用的JavaScript的函数名

     参数：参数，可选

函数具体用法请参考

http://help.adobe.com/zh_CN/FlashPlatform/reference/actionscript/3/flash/external/ExternalInterface.html

如下AS代码:

包:

{import flash.display.Sprite; import flash.external.ExternalInterface; 公共类XSSTest扩展了Sprite

       {public function XSSTest（）

             {var jsFunction：String = loaderInfo.parameters.jsFunction; var param：String =“abc”;

                    ExternalInterface.call（jsFunction，param）;

             }

       }

}

这里通过flashvars传递了一个参数，是js的函数。这种方式比较常见，swf可以做成通用，放到不同的业务中使用，每次只需要传入对应的js函数即可。但是，这里就存在漏洞了。

在浏览器中，构造URL：
XSSTest.swf jsFunction =alert(/xss/)
访问SWF，并以获取参数的形式传入Flash变数，造成了 XSS
在这里插入图片描述
0×03实践
这是一个简单的网页，里边有flash做的MP3播放器。

我们先黑盒看一下：

查看网络
在这里插入图片描述
加载了swf，查看源码

看到MP3参数传递的是MP3文件。我们尝试从URL传递参数访问http://192.168.6.2/_files/XSSC1.swf?mp3=../1.mp3

看控制台，有奇怪的输出。
在这里插入图片描述
把MP3文件下载下来分析一下

http://192.168.6.2/1.mp3

在这里插入图片描述
保存下来

右键属性看摘要
在这里插入图片描述
这个文件的标题就是console的输出，由此我们推测为文件里源码有调用js函数console.log（“MP3的标题”） ;

既然是教程，那我们就白盒看一下这个SWF的源码：

包

{

    import flash.events。*;

    import flash.display。*;

    import flash.media。*;

    import flash.external。*;

    import flash.net。*;

    import flash.system。*;

 

    公共类XSSC1扩展Sprite {

 

       private var m：声音;

 

       公共功能XSSC1（）{

           var mp3：* = null;

           var host：* = null;

           var u：* = null;

           var context：* = null;

           超（）;

           var p：* = this.loaderInfo.parameters;

           if（（“mp3”in p））{

               mp3 = p [“mp3”];

               host =（（mp3.match（/ ^（https？：\ / \ / [^ \\\ /] +）/））||（[“”，“”]））[1];

               Security.loadPolicyFile（（host +“/ crosdomain.xml”））;

               u = new URLRequest（mp3）;

               context = new SoundLoaderContext（1000，true）;

               m = new Sound（）;

               m.load（你，上下文）;

               m.play（）;

               m.addEventListener（Event.ID3，function（e：Event）：void {

                   if（（m.id3中的“songName”））{

                       if（ExternalInterface.available）{

                           迹（m.id3.songName）;

                           ExternalInterface.call（“console.log”，m.id3.songName）;

                       };

                   };

               }）;

           };

        }

    }

}//包

那么，我们本地搭建web服务器，构造MP3标题即可触发xss。

首先我们本地创建的Web服务器根目录
在这里插入图片描述
把刚才下载的MP3复制进去，然后创建crossdomain.xml的文件，内容

<？xml version =“1.0”？>

<！ -  http://www.foo.com/crossdomain.xml  - >

<！DOCTYPE跨域策略系统“http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>

<跨域策略>

 <allow-access-from domain =“*”/>

         <site-control allowed-cross-domain-policies =“all”/>

 <allow-http-request-headers-from domain =“*”headers =“*”/>

</跨域策略>

在这里插入图片描述
然后我们修改1.MP3的标题为\“））; alert（1）;} catch（a）{} //，右键属性

在cmd 里切换到web 目录，执行C：\ Python27 \ python -m SimpleHTTPServer 80 开启web 服务器

然后访问http://192.168.6.2/_files/XSSC1.swf?mp3=http://192.168.5.66/1.mp3
在这里插入图片描述
成功XSS