通過瀏覽器緩存來bypass nonce script CSP

新聞 05-09

* 本文原創作者：LoRexxar，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載

最近看了去年google團隊寫的文章CSP Is Dead, Long Live CSP!，對csp有了新的認識，在文章中，google團隊提出了nonce-{random}的csp實現方式，而事實上，在去年的聖誕節，Sebastian 演示了這種csp實現方式的攻擊方式，也就是利用瀏覽器緩存來攻擊，現在來詳細分析下。

漏洞分析

原文查看：

http://sirdarckcat.blogspot.jp/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html

國內的翻譯（只有翻譯）：

http://paper.seebug.org/166/

首先我需要個demo

首先是實現了nonce script的站，然後包含了因為是利用了瀏覽器緩存，所以我們不能對頁面發起請求，因為發起請求之後，後台就會刷新頁面並刷新nonce的字元串，符合條件的只有3種。

持久型 DOM XSS，當攻擊者可以強制將頁面跳轉至易受攻擊的頁面，並且 payload 不包括在緩存的響應中（需要提取）。

包含第三方 HTML 代碼的 DOM XSS 漏洞（例如，fetch(location.pathName).then(r=>r.text()).then(t=>body.innerHTML=t);）

XSS payload 存在於 location.hash 中的 DOM XSS 漏洞（例如 https://victim/xss#!foo?payload=）

這裡首先我們需要一個開啟了nonce script規則的站，並加入一個xss點

iframe引用

然後我們需要利用iframe引入這個頁面，並對其發起請求獲取頁面內容，這裡我們通過向其中注入一個標籤來吃掉後面的script標籤，這樣就可以獲取內容。 <center> <script src="/336-5.js"></script></center> <img data-w="850" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkE7Neg2EvMnvuicypnQibqWCLd8LVfNYHe5VhoLyue5ncSq7sevffmJksg/0?wx_fmt=png" data-ratio="0.5670588235294117" data-s="300,640"> <img data-w="853" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEOknicdH0S1VJG8Vzh3Pbklc8WQwgczG9tSSjZibvhLL6ib9mxajiaqEJMQ/0?wx_fmt=png" data-ratio="0.5615474794841735" data-s="300,640"> <img data-w="849" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEcpdKfc6RQzT1TQb14nW87MTmibShE7aPibIkWhaf4Hw5TYLsvtsdjOHQ/0?wx_fmt=png" data-ratio="0.10600706713780919" data-s="300,640"> 獲取nonce字元串 <center> <script src="/336-5.js"></script></center> 然後我們需要一個頁面去獲取nonce字元串，為了反覆獲得，這裡需要開啟session。 <img data-w="846" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEOPiaX9Wt3zw933eAeicw5achWwkDzu7prJF7hic03YjnHBS9fibQakJV2Q/0?wx_fmt=png" data-ratio="0.5378250591016549" data-s="300,640"> 一切就緒了，唯一的問題就是在nonce script上，由於csp開啟的問題，我們沒辦法自動實現自動提交，也就是攻擊者必須要使按鈕被點擊，才能實現一次攻擊。 <img style_="DISPLAY: inline" width=690 data-w="690" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkE9hRzdblUZ78euJn1Bd3KdGicVLXYEs1mqgTovbK6I6iafUGW8evr7qRQ/0?wx_fmt=jpeg" data-ratio="0.26811594202898553"> nonce繞過實例-pwnhub絕對防禦 <center> <script src="/336-5.js"></script></center> 為了研究整個漏洞的限制性，我專門寫了一個pwnhub的題目。題目環境大概是這樣的。 前台是個聊天版，可以發給任何人，有簡單的xss過濾，但是可以隨便繞過 <img style_="DISPLAY: inline" width=690 data-w="690" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEp9QBp2SReBTjDMVE4xxsGiaZ77hFjkEXLicic2Y1ibicOgEFesgHm75jhBg/0?wx_fmt=jpeg" data-ratio="0.47246376811594204"> <center> <script src="/336-5.js"></script></center> 在admin的聊天版里可以找到後台的信息，通過構造任意xss獲得後台地址。 Wow, good guys,maybe you want /adminshigesha233e3333/#admin 打開看一眼發現敏感信息 <img style_="DISPLAY: inline" width=690 data-w="690" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEmCs823NQ5l0n0ljnOzbxaJLvY6x2bBexv7fv3ibx2azk3V0teKqey7Q/0?wx_fmt=jpeg" data-ratio="0.3536231884057971"> 右鍵看源碼是這樣的 <img style_="DISPLAY: inline" width=690 data-w="690" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkE0ClM9h9k5MHdAlxo2prNrKkGajrY5tSrkQGZShy3pA8oB7VyDylwlw/0?wx_fmt=jpeg" data-ratio="0.1144927536231884"> 存在dom xss，看看返回頭還可以發現更多信息。 <img style_="DISPLAY: inline" width=690 data-w="690" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkE1Y3N6ZwXCAm9w8h4F1sZTGMF8wrYxG0KqicoFFsTfty6UTibOAqmXZAw/0?wx_fmt=jpeg" data-ratio="0.28840579710144926"> 服務端不但開啟了最新版的nonce csp，而且還開啟了瀏覽器緩存 這就讓我們有了可乘之機，就如同上面提到的一樣，如果我們僅修改location.hash，瀏覽器不會請求伺服器，那麼nonce string就不會更換。 那麼思路就很清楚了，我們可以在主站構造xss，先開iframe請求admin目錄的，獲取到nonce值後，再新建一個iframe，添加帶有nonce字元串的iframe窗口，執行任意xss <img data-w="850" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkElf8FjAqU2qqdjS0A7ibRaBUHciaqQqaMNibFaoFicVlPibiaibXZVvVTqKMUw/0?wx_fmt=png" data-ratio="0.5576470588235294" data-s="300,640"> <img data-w="848" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkE1I5ZU7pxLj0bnbficelRibl9OSSkgiaSUwcPqXPox4pU9MLd0hB7iaXmdQ/0?wx_fmt=png" data-ratio="0.22169811320754718" data-s="300,640"> 總結 但是讓我回過頭來總結下上面的利用條件： 1、目標站開啟了緩存機制。 2、目標站同源下存在未被csp保護的存在xss的站點。 但事實上，我們本可以用更簡單的方式獲得目標站的flag，比如構造一個iframe引入flag.php，然後讀iframe內容，在同源的情況下是允許的。 payload如下 <img data-w="848" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEdOqO4dn2cNjPD53f6ia7fTlauJ8JelPsUuPLqDUp1bw9C05HrWGAxSg/0?wx_fmt=png" data-ratio="0.5683962264150944" data-s="300,640"> 那麼如果admin站點和xss站點非同源呢？由於同源策略的影響，你不能從父窗口獲取子窗口的內容，那麼就只能通過點擊劫持的方式，來發送請求，payload如前面漏洞分析時講到的。 payload如下 <img data-w="850" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEZcZvzt8oARTrSopRQRTLklrrDyy5XHylOJiceTp0Axzy3w4zH5WictIg/0?wx_fmt=jpeg" data-ratio="0.5635294117647058" data-s="300,640"> <img data-w="851" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEbUL5555MEd2HmxPlv2byVYQer9RLstWtdKH7HGXXFDZGNW7udu0NyA/0?wx_fmt=png" data-ratio="0.5675675675675675" data-s="300,640"> <img data-w="847" data-type="png" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_png/qq5rfBadR3icsbwW7wryEwbhC2TEsynkE9wq2XfuBjBJB6OP0q8ohZnY5ia5vSdwCpSO85hMibzIVXK7icUrFwTrtQ/0?wx_fmt=png" data-ratio="0.21723730814639905" data-s="300,640"> 如果被攻擊者點擊提交按鈕，那麼攻擊者就可以獲取想要的所有信息了。 回顧漏洞，我們不難發現整個漏洞處處都受到同源策略的限制，而且如果在chrome環境下，還會受到xss auditor的限制，所以雖然nonce script csp存在理論被繞過的可能，但是被作為CSP的新解決方案來說，前景仍然光明。 * 本文原創作者：LoRexxar，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載 <img data-w="600" data-type="jpeg" src="http://i0.wp.com/mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3icsbwW7wryEwbhC2TEsynkEPYPm7WhC1pdR8q0J4V48rOia2KcynNbuh4RtCPP9N8rNhQ9d5yZic24w/0?wx_fmt=jpeg" data-ratio="0.6466666666666666" data-s="300,640"><center>喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！ <a href="http://www.facebook.com/sharer.php?u=http://www.ifuun.com/a2017592127928/" target="_blank"><img src="https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png"></a></center> <center>本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊<a target="_blank" href="http://www.ifuun.com/today/">「搶先收到最新資訊」</a>瀏覽吧！</center> <center><a href="http://line.naver.jp/R/msg/text/?通過瀏覽器緩存來bypass nonce script CSP%0D%0Ahttp://www.ifuun.com/a2017592127928/"><img src="https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg"></a></center> <center> 請您繼續閱讀更多來自 <a class="bdcs-inlinelink" target=_blank href="/tag/FreeBuf">FreeBuf</a> 的精彩文章:</center></div> ※<a target=_blank href=/a2017592127933/>Shodan新工具發布：木馬惡意軟體C&C伺服器搜索引擎</a> ※<a target=_blank href=/a2017592127921/>如何創建Powershell持久隱蔽後門</a> ※<a target=_blank href=/a2017592127915/>英特爾AMT功能遠程提權高危漏洞分析</a> ※<a target=_blank href=/a2017592127907/>解碼內置不安全「加密晶元」的勒索軟體Gomasom</a> ※<a target=_blank href=/a2017582103248/>一款高度可定製的WiFi釣魚工具 – WiFiPhisher</a> TAG:<a target=_blank href=/tag/FreeBuf>FreeBuf</a> | <div class="hd">您可能感興趣</div> ※<a href="/a2018100716508225/">SpringBoot：SpringDataRedis緩存改造</a> ※<a href="/a2018061113860038/">Hitachi Vantara升級Skylaking伺服器加入Optane緩存和GPU</a> ※<a href="/a2018021310051888/">TinyShop緩存文件獲取WebShell之0day</a> ※<a href="/a2018070914566675/">redis緩存和cookie實現Session共享</a> ※<a href="/a2018092916401520/">緩存架構SpringBoot集成Curator實現zookeeper分散式鎖</a> ※<a href="/a2018030510673014/">python的緩存庫：cacheout</a> ※<a href="/a2018072114919955/">Flutter圖片緩存 Image.network源碼分析</a> ※<a href="/a2018030810789102/">Python + Memcached: 在分散式應用程序中實現高效緩存</a> ※<a href="/a2019060219592980/">windows緩存</a> ※<a href="/a2018030910794874/">Python＋Memcached：在分散式應用程序中實現高效緩存</a> ※<a href="/a2018030810777322/">Python + Memcached：在分散式應用程序中實現高效緩存</a> ※<a href="/a2018060613735433/">MyBatis中的緩存</a> ※<a href="/a2018061013833932/">使用RedisTemplate(JDK序列化策略）緩存實體類</a> ※<a href="/a2018110916976973/">spring-boot-2.0.3之redis緩存實現</a> ※<a href="/a2018071214658092/">int 和 Integer 有什麼區別？談談 Integer 的值緩存範圍</a> ※<a href="/a2019082120415251/">Bloom Filter如何解決緩存穿透</a> ※<a href="/a2018041512070618/">Linux下搭建高可用Redis緩存</a> ※<a href="/a2019053019568337/">英特爾推出升級版Optane Memory M15緩存SSD</a> ※<a href="/a2019011117898059/">Windows、Linux等系統遭遇頁面緩存旁路攻擊</a> ※<a href="/a2018052813480188/">Spark調優的關鍵—RDD Cache緩存使用詳解</a> <script data-cfasync="false" type="text/javascript"> var addthis_config = {"data_track_clickback":true,"ui_atversion":300,"ignore_server_config":true}; var addthis_share = {}; </script>  <script data-cfasync="false" type="text/javascript"> var addthis_product = "wpp-5.3.3"; var wp_product_version = "wpp-5.3.3"; var wp_blog_version = "4.4.5"; var addthis_plugin_info = {"info_status":"enabled","cms_name":"WordPress","cms_version":"4.4.5","plugin_name":"Share Buttons by AddThis","plugin_version":"5.3.3","anonymous_profile_id":"wp-30eecd838dd84df46fc27f5b710d02de","plugin_mode":"WordPress","select_prefs":{"addthis_per_post_enabled":true,"addthis_above_enabled":true,"addthis_below_enabled":true,"addthis_sidebar_enabled":true,"addthis_mobile_toolbar_enabled":true,"addthis_above_showon_home":true,"addthis_above_showon_posts":true,"addthis_above_showon_pages":true,"addthis_above_showon_archives":true,"addthis_above_showon_categories":true,"addthis_above_showon_excerpts":true,"addthis_below_showon_home":true,"addthis_below_showon_posts":true,"addthis_below_showon_pages":true,"addthis_below_showon_archives":true,"addthis_below_showon_categories":true,"addthis_below_showon_excerpts":true,"addthis_sidebar_showon_home":true,"addthis_sidebar_showon_posts":true,"addthis_sidebar_showon_pages":true,"addthis_sidebar_showon_archives":true,"addthis_sidebar_showon_categories":true,"addthis_mobile_toolbar_showon_home":true,"addthis_mobile_toolbar_showon_posts":true,"addthis_mobile_toolbar_showon_pages":true,"addthis_mobile_toolbar_showon_archives":true,"addthis_mobile_toolbar_showon_categories":true,"sharing_enabled_on_post_via_metabox":true},"page_info":{"template":"posts","post_type":""}}; if (typeof(addthis_config) == "undefined") { var addthis_config = {"data_track_clickback":true,"ui_atversion":300,"ignore_server_config":true}; } if (typeof(addthis_share) == "undefined") { var addthis_share = {}; } if (typeof(addthis_layers) == "undefined") { var addthis_layers = {"share":{"theme":"transparent","position":"left","numPreferredServices":5,"mobile":false},"sharedock":{"counts":true,"position":"bottom","numPreferredServices":5}}; } </script> <script data-cfasync="false" type="text/javascript" src="//s7.addthis.com/js/300/addthis_widget.js#pubid=wp-30eecd838dd84df46fc27f5b710d02de " async="async" > </script> <script data-cfasync="false" type="text/javascript"> (function() { var at_interval = setInterval(function () { if(window.addthis) { clearInterval(at_interval); addthis.layers(addthis_layers); } },1000) }()); </script> <div class="addthis_toolbox addthis_default_style addthis_32x32_style" addthis:url='http://www.ifuun.com/a2017592127928/' addthis:title='通過瀏覽器緩存來bypass nonce script CSP'><a class="addthis_button_facebook"></a><a class="addthis_button_twitter"></a><a class="addthis_button_pinterest_share"></a><a class="addthis_button_google_plusone_share"></a><a class="addthis_button_compact"></a><a class="addthis_counter addthis_bubble_style"></a></div></div> <script src="/ce.js"></script> <div class="clear"></div> </div> </div> <div class="clear"></div> </div> </div> <div class="clear"></div> <div id="footer"> <div class="copyright"> 全球趣味資訊 <a href="http://www.ifuun.com/"> iFuun </a>| <a target=_blank href="http://www.ifuun.com/category/latest/"> 最新</a> | <a target=_blank href="http://www.ifuun.com/daohang/index.html"> 總覽</a> <div style="display:none"><script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_1257936736'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s95.cnzz.com/stat.php%3Fid%3D1257936736%26show%3Dpic1' type='text/javascript'%3E%3C/script%3E"));</script></div> </div> </div> </div>  <div id="tbox"> <a target="_blank" id="fb" href="http://www.facebook.com/sharer.php?u=http://www.ifuun.com/a2017592127928/"></a> </div>  <script>  document.write("<sc"+"ript src='" +scJsHost +"statcounter.com/counter/counter.js'></"+"script>"); </script> <noscript><div class="statcounter"><a title="web analytics" href="https://statcounter.com/"><img class="statcounter" src="https://c.statcounter.com/10891594/0/d8e52e9b/1/" alt="web analytics" /></a></div></noscript>  <link rel='stylesheet' id='addthis_output-css' href='http://www.ifuun.com/wp-content/plugins/addthis/css/output.css?ver=4.4.5' type='text/css' media='all' /> <script type='text/javascript' src='http://www.ifuun.com/wp-content/themes/Qu/js/loostrive.js?ver=1.0'></script> <script type='text/javascript' src='http://www.ifuun.com/wp-includes/js/wp-embed.min.js?ver=4.4.5'></script>  </body></html>