VULHUB ™

<p>知道创宇安全研究团队&nbsp;Evi1m0&nbsp;：2015.5.7</p><h4>概要</h4><p>WordPress 被爆 DOM XSS 漏洞，数百万站点受影响，该漏洞存在于 WordPress 流行的 Genericons example.html 页面中，默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面，经过分析发现原来是 example.html 使用了存在 DOM XSS 漏 洞的&nbsp;jQuery老版本 。<br>11 年 dmethvin 提交 &nbsp;jQuery 1.6.1 版本的 Ticket #9521 , 其原因是由 $() | jQuery() 预期的 CSS 选择器在其他情况下可以用于创建 HTML 元素，如果编码不当（事实上很多编码不当的情 况），将会导致产生 DomXSS 漏洞。</p><h4>代码示例（jQuery 1.6.1）</h4><pre class="lang-html" data-lang="html">&lt;html&gt; &lt;head&gt; &lt;title&gt;jQuery DomXSS test&lt;/title&gt; &lt;script type="text/javascript"src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.1/jquery.min.js"&gt;&lt;/script&gt; &lt;script&gt; $(location.hash) &lt;/script&gt; &lt;/head&gt; &lt;body&gt; Hello，jQuery. &lt;/body&gt; &lt;/html&gt; </pre><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/05/blog5.71.jpg" alt="blog5.71" height="218" width="490"></p><h4>WordPress 默认主题 twentyfifteen 示例</h4><p>example.html 297-299 lines:</p><pre...

<p>知道创宇安全研究团队&nbsp;Evi1m0&nbsp;：2015.5.7</p><h4>概要</h4><p>WordPress 被爆 DOM XSS 漏洞，数百万站点受影响，该漏洞存在于 WordPress 流行的 Genericons example.html 页面中，默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面，经过分析发现原来是 example.html 使用了存在 DOM XSS 漏 洞的&nbsp;jQuery老版本 。<br>11 年 dmethvin 提交 &nbsp;jQuery 1.6.1 版本的 Ticket #9521 , 其原因是由 $() | jQuery() 预期的 CSS 选择器在其他情况下可以用于创建 HTML 元素，如果编码不当（事实上很多编码不当的情 况），将会导致产生 DomXSS 漏洞。</p><h4>代码示例（jQuery 1.6.1）</h4><pre class="lang-html" data-lang="html">&lt;html&gt; &lt;head&gt; &lt;title&gt;jQuery DomXSS test&lt;/title&gt; &lt;script type="text/javascript"src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.1/jquery.min.js"&gt;&lt;/script&gt; &lt;script&gt; $(location.hash) &lt;/script&gt; &lt;/head&gt; &lt;body&gt; Hello，jQuery. &lt;/body&gt; &lt;/html&gt; </pre><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/05/blog5.71.jpg" alt="blog5.71" height="218" width="490"></p><h4>WordPress 默认主题 twentyfifteen 示例</h4><p>example.html 297-299 lines:</p><pre class="lang-js" data-lang="js">//&nbsp;set&nbsp;permalink var&nbsp;permalink&nbsp;=&nbsp;cssclass.split('&nbsp;genericon‐')[1];&nbsp; window.location.hash&nbsp;=&nbsp;permalink;</pre><p>console.log permalink:</p><ul><li><a href="http://linux.im/wp-content/themes/twentyfifteen/genericons/example.html#123" rel="nofollow">http://linux.im/wp-content/themes/twentyfifteen/genericons/example.html#123</a></li><li>console.log(permalink): genericon-123</li></ul><p>335-343 lines:</p><pre class="lang-js" data-lang="js">//&nbsp;pick&nbsp;random&nbsp;icon&nbsp;if&nbsp;no&nbsp;permalink,&nbsp;otherwise&nbsp;go&nbsp;to&nbsp;permalink&nbsp;if&nbsp;(&nbsp;window.location.hash&nbsp;)&nbsp;{&nbsp;&nbsp;&nbsp;&nbsp;permalink&nbsp;=&nbsp;"genericon‐"&nbsp;+&nbsp;window.location.hash.split('#')[1]; &nbsp; &nbsp; attr&nbsp;=&nbsp;jQuery(&nbsp;'.'&nbsp;+&nbsp;permalink&nbsp;).attr(&nbsp;'alt'&nbsp;);&nbsp; &nbsp; &nbsp; cssclass&nbsp;=&nbsp;jQuery(&nbsp;'.'&nbsp;+&nbsp;permalink&nbsp;).attr('class'); &nbsp;&nbsp;&nbsp;&nbsp;displayGlyph(&nbsp;attr,&nbsp;cssclass&nbsp;); }&nbsp;else&nbsp;{ pickRandomIcon(); }</pre><p>如果存在 window.location.hash 则拼接 permalink 并使用 jQuery 进行属性操作，问题出现，当我 们将 location.hash 设置为 &lt;img src=@ onerror=alert(1)&gt; 时，导致跨站。</p><h4>jQuery 1.6.1 源码</h4><p>&nbsp;</p><pre class="lang-js" data-lang="js">&gt;_&nbsp;$ jquery.js:25&nbsp;function&nbsp;(&nbsp;selector,&nbsp;context&nbsp;)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;//&nbsp;The&nbsp;jQuery&nbsp;object&nbsp;is&nbsp;actually&nbsp;just&nbsp;the&nbsp;init&nbsp;constructor&nbsp;'enhanced'&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;new&nbsp;&nbsp;jQuery.fn.init(&nbsp;selector,&nbsp;context,&nbsp;rootjQuery&nbsp;);&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;}&gt;_&nbsp;jQuery.fn.init jquery.js:93&nbsp;function &nbsp;(&nbsp;selector,&nbsp;context,&nbsp;rootjQuery&nbsp;)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;var&nbsp;match,&nbsp;elem,&nbsp;ret,&nbsp;doc;//&nbsp;Handle&nbsp;$(""),&nbsp;$(null),&nbsp;or&nbsp;$(undefined) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(&nbsp;!selector&nbsp;)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;this; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}//&nbsp;Handle&nbsp;$(DOMElement) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(&nbsp;selector.nodeType&nbsp;)&nbsp;{&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;this.context&nbsp;=&nbsp;this[0]&nbsp;=&nbsp;selector;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;this.length&nbsp;=&nbsp;1;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;this; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} ...... &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(selector.selector&nbsp;!==&nbsp;undefined)&nbsp;{&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;this.selector&nbsp;=&nbsp;selector.selector;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;this.context&nbsp;=&nbsp;selector.context; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}&nbsp; &nbsp; &nbsp; &nbsp; return&nbsp;jQuery.makeArray(&nbsp;selector,&nbsp;this&nbsp;); &nbsp;&nbsp;&nbsp;&nbsp;}</pre><p>其中 jQuery.fn.init :</p><pre class="lang-js" data-lang="js">if ( typeof selector === "string" ) { // Are we dealing with HTML string or an ID? if ( selector.charAt(0) === "&lt;" &amp;&amp; selector.charAt( selector.length ‐ 1 ) === "&gt;" &amp;&amp; selector.length &gt;= 3 ) { // Assume that strings that start and end with &lt;&gt; are HTML and skip the regex check match = [ null, selector, null ]; } else { match = quickExpr.exec( selector ); } </pre><p>quickExpr 对 selector 进行过滤，正则为：</p><pre class="lang-js" data-lang="js">quickExpr =&nbsp;/^(?:[^&lt;]*(&lt;[\w\W]+&gt;)[^&gt;]*$|#([\w\‐]*)$)/,</pre><p>显然我们上面的 Payload 是能通过的。</p><h4>jQuery 1.7.2 源码</h4><p>&nbsp;</p><p>当时漏洞报告者在 #9521 中提到修复方案：</p><pre class="lang-js" data-lang="js">the quick patch by jquery is here&nbsp; ‐ &nbsp; &nbsp; &nbsp; quickExpr =&nbsp;/^(?:[^&lt;]*(&lt;[\w\W]+&gt;)[^&gt;]*$|#([\w\‐]*)$)/, + &nbsp; &nbsp; &nbsp; quickExpr =&nbsp;/^(?:[^#&lt;]*(&lt;[\w\W]+&gt;)[^&gt;]*$|#([\w\‐]*)$)/,</pre><p>尽管在开始的示例代码中不能生效，但由于程序开发人员的编码习惯显然按照上面的修复并无效果，修复后原有的攻击代码效果：</p><pre class="lang-js" data-lang="js">&gt;_ location.hash "#test&lt;img src=1 onerror=alert(1)&gt;" &gt;_$(location.hash) [] </pre><p>因为正则新增 # 的原因导致增加失败，在真实环境中属性或其他操作直接使用 location.hash 的 可能性叫小，开发人员以及业务需求使得上面的修复方案没有意义，例如开始提到的 WordPres s Default Themes XSS 漏洞 337 行：</p><pre class="lang-js" data-lang="js">permalink&nbsp;=&nbsp;"genericon‐"&nbsp;+&nbsp;window.location.hash.split('#')[1];</pre><p>程序将获取到的 hash [‘#test111’] split 后，只保存 test111 ，也就使得我们能忽略到 1.7.2 的修 复。</p><h4>jQuery 1.11.3 源码&nbsp;</h4><p>在前面版本中其实能够得以证明 jQuery 团队确实修复 #9521 的问题就是 quickExpr 的上方注 释：</p><pre class="lang-js" data-lang="js">// A simple way to check for HTML strings or ID strings // Prioritize #id over &lt;tag&gt; to avoid XSS via location.hash (#9521) quickExpr = /^(?:[^#&lt;]*(&lt;[\w\W]+&gt;)[^&gt;]*$|#([\w\‐]*)$)/, </pre><p>可能开发团队遇到了 1.7.2 中我提到问题的尴尬窘境，他们在 1.11.3 又对其进行了升级：</p><pre class="lang-js" data-lang="js">rquickExpr = /^(?:#([\w‐]+)|(\w+)|\.([\w‐]+))$/, </pre><p>看到这个正则我几乎无语，开头使用 &lt; 就能轻易绕过：</p><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/05/blog5.72.jpg" alt="blog5.72" height="226" width="492"></p><p>终于，他们在 2.x 系列正式修复了这个问题：</p><pre class="lang-js" data-lang="js">rquickExpr = /^(?:#([\w‐]+)|(\w+)|\.([\w‐]+))$/, </pre><h4>其他浏览器</h4><p>如你所见，上面这些 Payload 并不会在 Safari 中成效，通过调试即可发现 Chrome 未对 locatio n.hash 部分进行 URL 编码处理进入函数，而 Safari 会经过 URL 编码进入函数，是这样的：</p><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/05/blog5.73.jpg" alt="blog5.73" height="114" width="490"></p><p>但是我们仍然可以使用 html5 的一些特性，引发错误并 onerror 出来：</p><pre class="lang-js" data-lang="js">file:///1.html#&lt;video&gt;&lt;source/onerror=alert(1)&gt;</pre><p><img src="http://blog.knownsec.com/wp-content/uploads/2015/05/blog5.74.jpg" alt="blog5.74" height="435" width="854"></p>