wooyun-2015-0137693回顾||QQ远程代码执行

  • A+
所属分类:安全文章

1. QQ秀是由FLASH来编写的

wooyun-2015-0137693回顾||QQ远程代码执行


2. 以前的QQ秀提供了一个叫做心情秀的功能

wooyun-2015-0137693回顾||QQ远程代码执行


3. 心情秀可以在Q秀上显示一段自定义文字,还可以改变文字颜色,这及有可能是在TextField中来显示的,并且这个TextField支持htmlText,那么是否可以插入一个img标签呢?

wooyun-2015-0137693回顾||QQ远程代码执行


如上图所示,可以发现并不能输入特殊字符?
4. 然而,似乎只是在客户端做了过滤而已。。我们抓包看看。

wooyun-2015-0137693回顾||QQ远程代码执行


5. 数据被huffcompress算法压缩了,给JS代码下断点,然后修改原始的Q秀数据,提交,

wooyun-2015-0137693回顾||QQ远程代码执行


可以看到不论是客户端,还是WEB页面,都成功渲染了我们所填写的HTML代码。
6. 接着,我们得试试被img标签嵌入的FLASH是否可以执行恶意代码呢?经测试AS2编写的FLASH才能成功执行,说明父级FLASH为AS2编写。

wooyun-2015-0137693回顾||QQ远程代码执行


7. getURL试试。

wooyun-2015-0137693回顾||QQ远程代码执行


成功打开pkav.net
8. 然后。。

wooyun-2015-0137693回顾||QQ远程代码执行


9. 那么有哪些可以被用来调用的API呢?找到Q秀的主FLASH文件。

wooyun-2015-0137693回顾||QQ远程代码执行


10. 看到了有意思的API,是吧?执行个calc试试?

wooyun-2015-0137693回顾||QQ远程代码执行


11. 似乎还缺点什么

wooyun-2015-0137693回顾||QQ远程代码执行


12. 继续反编译另外一个Q秀的FLASH,看名字似乎胜利就在眼前。

wooyun-2015-0137693回顾||QQ远程代码执行


13. 分析一下这个函数的作用~

wooyun-2015-0137693回顾||QQ远程代码执行


14. 尝试调用一下这个download API。

wooyun-2015-0137693回顾||QQ远程代码执行


成功下载了一个文件,但是文件内容却不对。。Why ?
抓包找一下原因。

wooyun-2015-0137693回顾||QQ远程代码执行


看来客户端实现的代码大概是这样(伪代码):

wooyun-2015-0137693回顾||QQ远程代码执行


15. 怎么办呢?团队的@sogili(长短短)同学提出的一个可能的解决方案,换行试试?

wooyun-2015-0137693回顾||QQ远程代码执行


16. 下载回的数据还是不对?继续抓包:

wooyun-2015-0137693回顾||QQ远程代码执行


似乎所有的r都不见了。。。
17.为什么呢?

wooyun-2015-0137693回顾||QQ远程代码执行


上面是ExternalInterface.call的实际过程,推测“rn”可能是在拼接成XML数据之后被“格式化”为“标准”的 “n”。

wooyun-2015-0137693回顾||QQ远程代码执行


18. 为了避免这种情况,把rn改写成entity的形式,


wooyun-2015-0137693回顾||QQ远程代码执行


可是,参数在处理过程中,&会进行一次转义处理,依然不行。
19. 是不是没办法了呢?我们把视线切换到 functionName,函数名未做任何过滤措施。

wooyun-2015-0137693回顾||QQ远程代码执行


20. 然后,我们闭合并构造XML。

wooyun-2015-0137693回顾||QQ远程代码执行


21. OK,这次我们的请求成功了。

wooyun-2015-0137693回顾||QQ远程代码执行


22. 到了这里,我们可以修改请求的host了,但是IP我们肯定没办法改掉了。
我们找找看这个IP对应了多少域名

wooyun-2015-0137693回顾||QQ远程代码执行


23. 接着,我们的目标就是在这些域名下找到我们可以控制的资源。

wooyun-2015-0137693回顾||QQ远程代码执行


24. 最终,我们在b.qzone.qq.com下找到一个可以用来做bat的接口,注意值的双引号边界。

wooyun-2015-0137693回顾||QQ远程代码执行


这个接口在登录情况下,是需要csrftoken的,但是在未登录情况下访问,不需要token就可以直接返回数据,所以我们构造请求头时,并不需要带入cookie等信息。
25. 最终:download API下载JSON为bat,在QQ默认安装情况下,下载文件的路径已知,openURL API指定程序路径进行执行。

wooyun-2015-0137693回顾||QQ远程代码执行


本文始发于微信公众号(漏洞推送):wooyun-2015-0137693回顾||QQ远程代码执行

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: