漏洞追踪:最新IE UXSS漏洞技术分析

安全 漏洞
最近David Leo在Full Disclosure上爆出了一个ie的uxss漏洞,可以绕过ie的同源策略。本文简要分析一下这个漏洞的原理。

最近David Leo在Full Disclosure上爆出了一个ie的uxss漏洞,可以绕过ie的同源策略。本文简要分析一下这个漏洞的原理。

漏洞追踪:最新IE UXSS漏洞技术分析

攻击过程

  1. <iframe src="redirect.php"></iframe> 
  2. <iframe src="https://www.google.com/images/srpr/logo11w.png"></iframe> 
  3. <script> 
  4.     top[0].eval('_=top[1];alert();_.location="javascript:alert(document.domain)"');  
  5. </script> 

poc中第一个 iframe 利用一个302跳转,跳转到目标域,第二个iframe也加载了目标域的一个资源,和两个资源可以是不同的资源,当然跟Content-Type也没有关系。

上述 poc 在浏览器中的渲染过程大概如下:

1、浏览器渲染第一个 iframe,并加载 redirect.php 的资源;

2、浏览器渲染第二个 iframe,并加载对应的资源;

3、浏览器在第一个 iframe 上执行 eval 中的 js 脚本,分为一下几个步骤:

a.将第一个 iframe 赋值给一个变量

b.弹出一个alert 框

c.用户关闭 alert框

d.通过给 location 赋值的方式,在目标域上执行 payload

4、payload 在第一个 iframe 所在的域中执行,也就是目标域。

漏洞真相

貌似漏洞的关键在那个 alert 弹窗,由于 js 是单线程运行的,所有的弹窗(alert, prompt, and confirm)还有异步函数都会阻断浏览器进程,但是,这块的逻辑根据浏览器的不同,实现也有所不同。来看看上面的 POC 在不同浏览器上的渲染时间图:

FireFox

 

[[127513]]

 

当alert框弹出的时候,firefox 会继续处理网络请求,当第一个 iframe 跳转,并且加载了目标域的资源之后,alert 弹窗将会被自动关闭,js 脚本停止执行,所以,后续payload 代码不会执行。

Chrome

 

[[127514]]

 

当alert 弹窗弹出的时候,所有网络请求都终止了,所有后续 payload 中的 js 还是在原有的域上执行的。

IE

 

[[127515]]

 

当 alert 弹窗弹出的时候,IE 会继续处理网络请求,当第一个 iframe 跳转之后,目标域的资源加载完成之后,用户关闭弹窗,payload 后续的代码是在目标域上执行的。

本质原因

当第一个 iframe 跳转之前,payload 中的 js 都是在原有的域上执行的,这不会绕过 SOP,然而,当第一个 iframe 跳转之后,IE 会转换相关的域。所以,之前 payload 中的 js 脚本的域切换到目标域了,而不是原本的域,所以,就可以在目标域上执行任意代码。注意,这里第二个 iframe 也是必须的。

利用成本&&其他

根据现有的 payload,貌似整个利用过程需要用户参与,事实上并非如此,看如下 payload:

  1. <iframe src="redirect.php"></iframe> 
  2. <iframe src="https://www.google.com/images/srpr/logo11w.png"></iframe> 
  3. <script> 
  4.     top[0].eval('_=top[1];with(new XMLHttpRequest)open("get","sleep.php",false),send();_.location="javascript:alert(document.domain)"');  
  5. </script> 

alert 弹窗的目的是阻塞浏览器进程,上面 payload 用一个异步请求来达到同样的效果。

影响范围

目前 win7-win8.1上面的 ie10-ie11都受影响。

建议普通用户先切换到其他浏览器吧。

ref:

Simplified PoC

PoC without user interaction

参考来源:innerht.ml

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2013-07-18 15:09:27

2009-08-15 10:34:14

安全邮件管理Windows Liv

2013-09-25 10:46:35

零日漏洞DeputyDog攻击IE零日漏洞

2010-01-19 21:01:28

2017-09-28 10:12:51

2009-03-07 09:59:16

2014-10-21 13:28:20

2021-11-07 07:46:29

源码漏洞恶意代码

2014-12-03 10:37:45

2013-10-15 10:22:43

2009-03-27 23:25:17

2015-02-05 15:58:06

2014-11-27 09:31:26

2010-08-03 11:08:57

2015-03-23 12:26:49

2020-10-14 09:44:52

漏洞

2015-02-28 09:36:52

IETrident

2010-01-25 11:28:59

2015-03-04 10:11:59

IE漏洞

2010-06-18 15:34:49

点赞
收藏

51CTO技术栈公众号