香香书屋【看我如何用XSS“干掉”8-9的顶级杀软厂商 】—-dbcooper,平半,马和,买篮球

网络干货 litianseo 7个月前 (07-03) 65次浏览 已收录 0个评论

正文:

  看我如何用 XSS“干掉”8/9 的顶级杀软厂商  
在过去的十年里,世界上已经有数以百万计的人在电脑上装了杀毒软件。在本文中,我们针对世界上 Top 9 杀软公司的网站里攻克下了 8 个,成功实现了 XSS 的利用。
前言
现如今的杀软已经非常成熟,还拥有了针对 ransomware、间谍软件、木马、后门、蠕虫和 rootkits 等攻击的保护手段。
我们针对世界上 Top 9 杀软公司的网站里攻克下了 8 个,成功实现了 XSS 的利用。此外,下文会根据漏洞发现的难度和严重程度,对其进行评级,评级模型如下:

Severity:  Difficulty: ?

而在报告给厂商后,我们还有个厂商响应评级供用户参考:

Speed: ?Interest: ?

下面我们进入正题,我们将分析一下每个触发弹窗的 POC,并按困难程度进行排序:
各厂商 XSS 漏洞大合集
BitDefender(比特梵德)
影响域名:lv2.bitdefender.com
上面提到的这个子站,受影响的点在网站 404 页面,在路径处直接加上攻击向量(如<script>alert(document.domain)</script>),就可以轻松进行 XSS 攻击。

评级:

Severity: ?Difficulty: ?

这个 Severity 评级是因为其与主域名共享了 cookie,所以影响力是较大的。但是因为没有做 XSS 防护,所以 Difficulty 评级较低。
最终 Payload 如下:

https://lv2.bitdefender.com/<script>alert(document.domain)</script&gt;

卡巴斯基
影响域名:kids.kaspersky.com
该子站的 url 里,其中 age 参数没有进行保护,加上攻击向量“><svg/onload=alert(domain)>”,就可以进行 XSS 攻击。

评级:

Severity: ?Difficulty: ?

由于卡巴斯基这个子站也是跟主站共享 cookie,而且也没有加防护,所以它跟 BitDefender 的 XSS 评分差不多。
最终 Payload 如下:

https://kids.kaspersky.com/?age=”><svg/onload=alert(domain)&gt;

Panda Security(熊猫安全)
影响域名:download.pandasecurity.com
该子站影响在参数 url 上,在页面返回了三次,有两次在<h1>之间出现,还有一次出现在脚本内容(<script>标签)里。因为参数值并没有被编码或者转义,所以我们有两个选择。第一种就是用<svg onload=alert(domain)>用 HTML 标签注入 payload。另一个选择是突破参数字符串的值,用-alert(document.domain)-进行利用,我们这里选择了第二种方式,因为固有的兼容性和简短性。

评级:

Severity: ?Difficulty: ?

这个 Severity 评级是由于 cookie 都没采用 HttpOnly,所以带来了一定的风险,漏洞页面采用了 403 返回信息。
最终的 payload:

http://download.pandasecurity.com/cav/eng/malicious/?url=”-alert(document.domain)-&#8221;

小编批注:
可能有人会有点疑惑这里是如何触发的,我不会告诉你们某人傻气地跟我争论了半天(完全是毫无意义的好么!),下面放一张图,大家可能会看得明白一点:

Avira(小红伞)
影响域名:search.avira.com
这个子站某个 GET 参数“gct”的值在返回页面出现了 6 次,但是其中有一个没有进行转义和加密,存在于一个脚本内容里,至于另外 5 处则是没有问题的。
最后我们再次选择了上面那个带减号的 payload:

评级:

Severity: ?Difficulty: ?

这里 Severity 评级与 Panda Security 的网站类似,包括 PHPSESSID 在内都可以被黑客所取到,而 Difficulty 评级则是因为寻找漏洞页面费了点劲儿。
最终的 payload:

http://search.avira.com/?gct=’-alert(document.domain)-&#8216;

AVG
影响域名:toolbar.avg.com
这个站的漏洞与前面四个都不同,其默认使用了微软的 asp.net 的默认过滤器,如果 A-Z 或 a-z 字符后跟了<,会被网站判定为 XSS 攻击。该 web 应用在 GET 参数“op”和“pid 处,里面的值被设置为 div 标签的 class 值,我们这里采用的是 onmouseenter 事件。

评级:

Severity: ?Difficulty: ?

很可惜,这里的 cookie 采用了 cookie 保护,启用了 HttpOnly 选项,所以 Severity 评级并不高。
不过这里的 Difficulty 评级还是比较客观的,主要有以下原因。第一,受影响的页面不太好找,费了点时间。第二,ASP.NET 自带的 XSS 过滤器还是很恶心的,增加了测试的难度。
我们只有一条路,突破 class 限制而不是 div,那就需要用到 JS 事件句柄了。遗憾的是,常用的 onmouseover 事件被某 WAF 拦住了,我们只好换成了 onmouseenter。然而,这坑爹的 WAF 还把“(”给 ban 掉了,不过最后还是让我们用 HTML 编码&lpar;给绕过了。
最终的 payload:

http://toolbar.avg.com/almost-done?op=”onmouseenter=”alert%26lpar;document.domain)http://toolbar.avg.com/almost-done?pid=”onmouseenter=”alert%26lpar;document.domain)

Symantec(赛门铁克)
影响域名:library.symantec.com
该域名不同于此前其他案例,因为这个 XSS 是存储型的。Symantec 并没有把代码放在该子站,而是采用了其他公司开发的某平台(Getty Images)。该存储型 XSS 影响了该子站的应用 Lightboxes,它可以让用户创建自己的 lightbox 并与其他用户分享。

该漏洞存在于 lightbox 的 name 处:它的 name 出现在脚本内容里,而且没有做处理,所以就造成了一个严重的 XSS 攻击。自然而然,我们这里仍然选择了上面的那个 payload。

评级:

Severity:5/5Difficulty: ?

该 XSS 漏洞在 Severity 评级达到顶级,是考虑了以下三个因素。第一,该 XSS 是存储型的影响力实在不小,还可能用作蠕虫。第二,就是这些 cookie 都没有采取任何保护措施。
最后还有一点,CSRF 的 token 还是明文存在于页面的代码里。综上所述,黑客可以很容易取得其他用户的权限的。
至于 Difficulty 的评级是给花在寻找漏洞网站和漏洞点的时间上的,检查多个输入点和创建多个测试账户进行交互测试还是很费劲的。
这里的 payload 还是”-alert(document.domain)-”。
McAfee(迈克菲)
影响域名:
service.mcafee.com
att.mcafee.com
verizon.mcafee.com
truekey.mcafee.com

这里四个字站都受影响的原因,是因为他们都采用了同一套代码。受漏洞影响的 GET 参数 term,在页面中出现了 4 次,其中 3 次都进行了编码,而还有一次进行单引号转义(因为在单引号之中)。
这里我们采用了一个非常有意思的 payload,我们接着看:

评级:

Severity: ?Difficulty:5/5

这里的 Severity 评级是因为 cookie 是受保护的,而与此同时我们试图触发 alert(document.domain)时,也遇到了很多困难。
第一个难点,我们由于单引号的过滤,用不了’-alert(document.domain)-’这类的 payload 了。
因此,我们尝试用事件句柄去注入 HTML 标签,绕过了这点。
第二个问题则是注入了 HTML 标签后,我们还是不能用 alert(document.domain)。在这里“(”也被 ban 掉了。我们如果加上反引号(`) 则是可以弹窗的,但是弹出的是“document.domain”,而不是真实的网站域名。
我们尝试用&lpar;取替换“(”,结果返回了 500 页面。然后我们尝试加了“#”,这个标志符号通常能让我们加上额外的文本内容,而且不会被服务端所解析(只有客户端的属性 location.hash 会解析)。
我们这里来看看 location based payloads,这里使用了 javascript 协议,利用 document.location 属性来改变 URL 的导向。
不幸的是,我们没能使用下面的 payload:

</script><svg/onload=location=”javascript:alert”+location.hash>#(document.domain)
因为 location.hash 回显的是#(document.domain),而不是(document.domain)。我们不能使用 substr()或者 slice()函数,因为他们也使用了括号。

为了绕过这一点,我们使用了 HTML 元素的 innerHTML 属性,这会返回当前元素闭合和开放的标签内的文本内容。我们可以创建下面的 payload:

</script><svg/onload=location=”javascript:”+innerHTML+location.hash>”#”-alert(document.domain)

上面的 payload 改变了页面里的 document.location,转为 javascript:”#”-alert(document.domain)。这里#因为包含在引号里,所以被解析为字符串,同样能触发弹窗。
最终 payload:
https://service.mcafee.com/webcenter/portal/cp/home/faq?term=</script><svg/id=javascript:+onload=location=id%2binnerHTML%2blocation.hash>”&mode=search#”-alert(document.domain)https://att.mcafee.com/webcenter/portal/cp/home/faq?term=</script><svg/id=javascript:+onload=location=id%2binnerHTML%2blocation.hash>”&mode=search#”-alert(document.domain)https://verizon.mcafee.com/webcenter/portal/cp/home/faq?term=</script><svg/id=javascript:+onload=location=id%2binnerHTML%2blocation.hash>”&mode=search#”-alert(document.domain)https://truekey.mcafee.com/webcenter/portal/cp/home/faq?term=</script><svg/id=javascript:+onload=location=id%2binnerHTML%2blocation.hash>”&mode=search#”-alert(document.domain)
相关内容在这里。
ESET
影响域名:www.eset.com
这里的 XSS 漏洞是通过 GET 参数 q 触发的,也就是查询关键词的内容。这是第三方厂商开发的一款名为 TYPO3 的 CMS,我们发现了其中的 XSS 漏洞。

评级:

Severity: ?Difficulty: 5/5

这里的 Severity 评级是由于 cookie 设置了保护,但是需要用户交互才能触发。
而 Difficulty 设置的高评级,是因为我们花了许多时间寻找其他子站的 XSS 漏洞,然后才想到了去判定网站指纹,看看是否存在公开 XSS 漏洞。
接着,我们发现该网站采用了 TYPO3 的 CMS,我们开始去 Fuzz 这个 CMS 的过滤器。后来,我们发现了 Github 上,该 CMS 放置了一些单元测试脚本,我们终于弄明白了过滤器的细节。
该 CMS 使用了黑名单来拦截事件句柄,如 onclick 之类的会被替换成 on<x>click。而 javascript:会被替换成 ja<x>vascript\:。与此同时,尖角符号也会被编码。我们尝试了 javascript&colon;来代替 javascript:然后成功了。还有,我们也用&lpar; 和&rpar;代替了小括号。
在返回页面里输入内容出现了两次,一个在<strong>标签里,另一个在<input>标签的 value 值里。在该 CMS 里尖括号被 HTML 编码后,我们只有考虑向<input>标签里注入事件句柄和属性。
幸运的是,HTML5 有了一个新的属性,也就是<input>标签可以调用的 formaction。我们可以用它设置<form>里的 action 属性的值,<input>也在其影响之中。即使<input>标签里的 action 已经设置了值,我们还是可以覆盖里面 action 的参数值。
结合 type 属性使用上面提到的属性,我们可以将<input>转换为一个 button,将 document.location 设置为“javascript&colon;alert&lpar;document.domain&rpar;”。
最终的 payload:

https://www.eset.com/us/search/?q=1″type=image formaction=javascript%26colon;%26lpar;document.domain%26rpar;+1

在本节中,我们将杀软厂商的漏洞响应进行了评级,评级方式与前面大致相同。我们初始提交漏洞给各厂商时都是在 1 月 27 日,直到 90 天后我们才发布了这篇报告。
各厂商响应情况
BitDefender
我们在 1 月 31 日和 3 月 1 日分别给它发了消息,而在第三封消息后,他们才向我们要了漏洞细节。我们发现在此前他们已经修复了漏洞,但却没有给我们回信。
后来他们在 4 月 12 日声明这问题早已有人报告过,而且修复了(在我们发了初始报告之后的时间内修复的),所以并没有给我们奖金。
评级:

Speed:  ?Interest:  ?

卡巴斯基
我们在发送初始报告消息后,在 27 分钟后就收到了厂商的回复,是诸厂商中最快的。
在 2 月 4 日漏洞被确认,我们检查了下漏洞已经被修复。我们在那天又发了消息给卡巴斯基,他们表示正在等待安全团队的消息。然而至今为止,还是没有下文。
评级:

Speed: 5/5Interest:  ?

PandaSecurity
我们在给 Panda Security 发送初始报告后,还发过一封消息。在 1 月 31 日后,他们回复已经知晓了漏洞,并且在 2 月 1 日进行了修复,是厂商里最重视漏洞的。
评级:

Speed:  ?Interest:5/5

Avira
在发送初始报告后,我们曾通过他们的推特账户进行联系。他们给了我们一个 email 地址,似乎是很重视他们的互联网用户安全的。
我们在 2 月 2 日向他们给的 email 地址,发送了该漏洞的 POC。后来,我们又分别在 2 月 8 日、20 日和 27 日也发送了消息,但是直到本文发布还是没收到任何回应。
然而,我们发现至少在 4 月 21 日以前该漏洞就已经被修复。但厂商没有表示任何形式的感谢,甚至根本不回复我们消息。
评级:

Speed:  ?Interest:  ?
AVG
AVG 在我们初始报告两天后回复了我们,然后又在回复消息后 10 天内修复了该漏洞。为此,他们还奖励了我们一件 T 恤和一份感谢信。

Speed:  ?Interest:  ?

Symantec
Symantec 在我们发出第二封消息(1 月 31 日)后进行了回复,我们在 2 月 2 日发送了 POC。直到我们又发了三封消息(2 月 8 日、22 日、27 日)后,才确认了这个漏洞。他们表示已经联系了该平台的厂商,等待修复完成。
不过直到发文之时,该漏洞仍然没有修复。
评级:

Speed:  ?Interest:  ?

McAfee
我们尝试了各种方式联系 McAfee,支持中心、推特账户,虽然他们最后还是回复了我们。后来,在 2 月 4 日我们给厂商发送了 POC。但是,直到本文发布该漏洞仍然未修复。
评级:

Speed:  ?Interest:  ?

ESET
ESET 在我们发送初始报告 47 分钟后就回复了,算是厂商中回复第二快的。在我们发送 POC 之前的当天(晚上 9:57 前),漏洞就已经被修复,不过此前我们已经将利用结果的截图发过去了。为此,ESET 还给我们发了一封正式的感谢函。

评级:

Speed:5/5Interest:5/5

Avast
Avast 是我们唯一没有发现 XSS 漏洞的厂商,但并不意味着他们并没有这样的漏洞。毕竟这个测试项目,我们只花了一周的时间来做。但是这也许也象征着他们的 WEB 安全方面强于竞争对手,我们最后对他们的团队表示衷心的敬佩和祝贺。
 *参考来源:brutelogic,FB 小编 dawner 编译,转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM) 香香书屋,dbcooper

———————————-

相关阅读:
平半,马和,真人做爰直播全集播放 男女交配的真实动作

  九真人

  《赵世家》:王父初以长子章为太子,后得吴娃爱之,为不出者数岁,生子何,乃废太子章而立何为王。吴娃死,爱驰,怜故太子,欲两王之,犹豫未决,故乱起,以至父子俱死,为天下笑,岂不痛乎!
“怎么是误会?妮维雅姐姐,我刚明明看到你被这个恶心好色另外男人欺负了!”闻言另外白袍少年却是不依不饶另外嗔怒道,同时一双明媚另外眼睛仍旧死死盯住陈宇梵,愤恨之中还带着一丝厌恶……
  【通鉴】振动盘噪音买篮球


32w.net , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:http://www.32w.net/ganhuo/811.html
香香书屋【看我如何用XSS“干掉”8-9的顶级杀软厂商 】—-dbcooper,平半,马和,买篮球
喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址