原文:https://medium.com/@win3zz/simple-story-of-some-complicated-xss-on-facebook-8a9c0d80969d

前言

这篇文章讲述了在facebook上挖掘一些反射型XSS漏洞的心路历程。在上一篇文章中提到;MicroStrategy Web SDK托管在Facebook的生产服务器上,利用文件上传功能,可以将web shell上传至服务器。

具体细节

通过枚举预先构建的任务,我发现uploadFile任务已注册并且可以访问。


MicroStrategy网站上提供的关于uploadFile的参考文档不多。纸上得来终觉浅,绝知此事要躬行。因此,我决定从它的源代码入手,分析uploadFile功能。


我使用jd-gui工具反编译了SDK的每个JAR文件,在WebTasks.jar文件下有一个类“com.microStrategy y.web.tasks.UploadFileTask”


这个类支持文件上传及其处理功能。首先,检查fileFieldName URL参数,该参数应与实际文件名(要上传的文件名)匹配。然后,检查文件扩展名,对于Excel文件(xlsx和xls),调用函数parseUploadedExcelFile进行处理,对于其他文件,调用parseUploadedFile函数处理该文件。


parseUploadedExcelFile函数首先检查有效session,因此上传excel文件不太现实,但是parseUploadedFile函数没有检查有效session。

parseUploadedFile实际上并没有将上传的文件存储在服务器上,而是使用ploadFile任务来处理来自HTML表单的上传文件,并将文件内容返回给客户端。因此我们也无法上传web shell。
我发现UploadFileTask类处理上传文件的数据,并在没有输出编码的情况下进行渲染。这导致在m-nexus.thefacebook.com上下文中执行任意JavaScript代码。
反射型XSS被我逮到了,但如何进行下一步利用?
我创建了一个网页来利用这个XSS。

不幸的是,我无法控制该文件的内容,所以我不能有效地进行XSS利用。


经过一阵研究,我确认基于表单的文件上传不允许攻击者指定文件内容。

真正的挑战

经过多次试验,我编写了一段简单的HTML+JavaScript代码,我可以通过POST表单发送文件,并触发XSS。

接下来就是在服务器上托管这个文件,并将其链接发送给受害者,当受害者点击链接时,将弹出带有域名的XSS窗口。


在burp中可以看到HTTP响应


通过这个XSS,黑客可以在客户端计算机上执行脚本,从而收集有关系统的信息并发送给恶意第三方。

XSS攻击会产生潜在的严重后果。攻击者可以通过操作应用程序DOM欺骗用户触发XSS。facebook方面非常重视我的这个漏洞报告,并给了我一份很不错的奖励。

下一个故事

这个故事与之前的帖子中讨论的blind SSRF漏洞有关。
我通过枚举找到了一个wikiScrapper任务。它有一个searchString参数,该参数接受关键字并从Wikipedia抓取数据。


我发现,如果我们提供一个以http://https://,开头的字符串,那么它将从该网站提取数据。渲染Web内容时没有对数据进行编码,这说明searchString参数容易受到反射型XSS的攻击。
要抓取域上托管的任何网页,有两个条件必须要满足。第一个条件是该网页是一个包含所有必需标记(如HTML、Body和H1)的HTML页面。其次,网页必须包含一个表,并且表标记必须至少包含一个wikitable类。

要利用这个漏洞,我要做的就是托管一个满足上述所有条件的特殊网页,然后将其链接传递给searchString参数。我快速编写了一个HTML代码(具有XSS payload)并将其托管在HTML Pasta上(允许免费匿名托管HTML)


现在,在浏览器中打开这个精心构造的链接,弹出带有域名的XSS。

结论

报告完这些漏洞后,我又收到了五位数的赏金,所有问题现已修复。现在已经不能公开访问m-nexus.thefacebook.com域。

上一篇文章:https://medium.com/@win3zz/how-i-made-31500-by-submitting-a-bug-to-facebook-d31bb046e204

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖