本文讲述作者在Mail.ru APP某个功能点上发现的Stored XSS漏洞,利用该漏洞可以从Mail.ru相关的应用或邮箱管理软件myMail iOS中窃取用户邮件交流记录、通讯录等隐私信息。漏洞最终获得了Mail.ru官方奖励$1000。
Mail.ru是俄罗斯最大的电邮和网络服务平台,是俄罗斯最大的门户网站,也是俄罗斯第一个成功在伦敦上市的互联网公司。
漏洞情况
漏洞源于Mail.ru的某个功能点对SVG图片文件未做安全检查,可以导致XSS,如在以下SVG文件中插入XSS Payload:
<?xml version="1.0" standalone="no"?> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"> <svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg"> <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/> <script type="text/javascript"> alert("XSS"); </script> </svg>
把上述包含XSS Payload的SVG上传后,当用户浏览访问时,便可触发XSS执行:
构造利用
有了XSS,接下来就是来构造漏洞利用了,要能显示漏洞危害才能证明漏洞价值。因此,我深入Mail.ru手机APP中想查找到一些与用户相关的敏感文件。
从其APP的文件架构中,一开始我想看看能否获取到/etc/passwd,但在iPhone中/etc/passwd有沙盒保护,我只好从其它文件入手。刚好,我有一台越狱的iPhone 5,所以我可以用它来查看到APP的整体文件架构。经测试发现,APP相关数据以随机文件夹名称被存储在了路径/private/var/mobile/Containers/Shared/AppGroup/中:
这些文件中哪些是Mail.ru APP的应用数据呢?这里我需要用XSS来验证一下具体的APP文件路径。所以,我在SVG构造文件中用了alert(location.href),发送给我自己,触发实现XSS,就看到了APP文件路径了:
然后来到该路径下,可以看到有几个SQLite数据库文件:
经过下载分析,我发现在文件mail_cache.sq3中包含了用户相关邮件交流、通讯录、支付记录等一切相关信息:
我把该SQLite数据库文件提取到了我的服务器中,有了这个SQLite数据库文件,就足够证明漏洞危害了。接着,我构造了一个简单的POC尝试从我的iPhone中以XSS方式弹出SQLite数据库文件,哦,完全可以:
制作POC
接下来,就是制作POC的时候了。我尝试用XSS漏洞把上述APP中SQLite敏感信息发送到我控制的服务器中来,刚开始,只能发送部分信息,之后经过4个多小时的试错修改,终于可以用以下SVG Payload把整个mail_cache.sq3发送到我的服务器中了。
POC脚本首先去读取Mail.ru的文件夹位置,然后获得mail_cache.sq3位置,接着把mail_cache.sq3文件发送到我的服务器中。也就是说,如果我把该SVG文件发送给使用Mail.ru的用户,只要他点击访问到该SVG文件,那么他Mail.ru应用相关包含邮件交流、通讯录、支付记录等个人隐私的mail_cache.sq3文件就传到了我的服务器中了。如下:
后续
我立马把该漏洞报送给了Mail.ru官方,获得了其$1000的漏洞奖励。
而据Mail.ru安全经理告知,我的这个漏洞并不是所谓的Stored XSS,而是一种名为“跨应用程序脚本(Cross application scripting,CAS)”的漏洞,但我觉得还是XSS吧。或许我是错的,不管了,但终归还是学到了新知识。
跨应用程序脚本(CAS)漏洞:会影响无法详尽检查输入的应用程序。 CAS允许攻击者插入修改特定应用程序行为的数据,这使得可以从用户系统内部提取数据,利用CAS漏洞,攻击者可以获得应用程序的全部特权。
参考来源