实战|从XSS到远程代码执行

Opera浏览器有一个功能是My Flow，作用是计算机和手机之间的进行图片、视频、文件等共享。要连接到手机，只需扫描二维码，然后就可以在设备之间发送东西。

使用 Opera 中的开发人员工具，发现 My Flow 界面是从域web.flow.opera.com加载的，它只是一个普通的 HTML 页面，允许查看其源代码。

查看页面的源代码，发现该页面与浏览器扩展程序通信，但从浏览器扩展列表中的opera://extensions/ 中，什么也没有出现。经过一番研究，发现它实际上是一个隐藏的浏览器扩展，可以通过使用特殊标志–show-component-extension-options打开 Opera 来显示。打开带有该标志后，找到了名为Opera Touch Background的扩展程序，并且能够查看其源代码。

回到 web.flow.opera.com 页面，开始寻找 XSS 漏洞。引起我注意的是这段代码：

const html = e.dataTransfer.getData('text/html');
const src = html.match(//);
if (src && src[1]) {
   const parser = document.createElement("span");
   parser.innerHTML = src[1];}

此功能用于拖放，当用户将图像拖放到页面上时，代码会创建一个元素，并将其innerHTML 元素设置为图像的位置。但是，这样做有两个问题：

1、在浏览器中，可以将 dataTransfer 设置为任意值。

2、在浏览器中，如果你创建一个新元素并将其 innerHTML 设置为 标签，它仍然会在后台加载。

这意味着尽管屏幕上没有加载图像，但以下内容将导致一个警告框：

const parser = document.createElement("span");
parser.innerHTML = '<1img src=x onerror=alert(1)>';

考虑到所有这些，开始验证是否存在XSS。为了展示引起 XSS 是多么容易，我创建了一个网页，一旦你开始拖动图片，几秒钟后就会重定向到 web.flow.opera.com 页面。这意味着用户只需要开始拖动图片，然后简单地松开鼠标，XSS 就会发生。

然而，为了验证存在更大的影响，开始研究 Opera Touch Background 扩展实际上做了什么。事实证明，它具有更高的权限和访问本机函数的权限，例如opr.operaTouchPrivate，它是为与 My Flow 应用程序一起使用而开发的函数集合。查看可用函数，有两种情况引起了我的注意：SEND_FILE和OPEN_FILE。

SEND_FILE 函数检索有关用户提供的文件的信息并将其上传到 My Flow；它还将文件保存到用户计算机的Downloads/MyFlow 中。OPEN_FILE 用于 My Flow 的图片文件，但在测试时我注意到你可以打开任何类型的文件，而不仅仅是图片。

有了这两个功能，我们现在可以在目标计算机上写入和打开任意文件。为了创建一个真实的场景，首先创建一个包含calc的文件exploit.bat，然后打开该文件——这将导致它被执行，打开Windows计算器：

operaTouchBackground.port.postMessage({
   type: "SEND_FILE",
   name: 'exploit.bat',
   content: 'calc',
   file_type: 'image/png'
});

operaTouchBackground.port.postMessage({
   type: 'OPEN_FILE',
   localFileName: 'exploit.bat'
});

最后，通过单击（拖动）激活漏洞所需的用户界面，我演示了如何将简单的 XSS 转换为 My Flow 系统用户的远程代码执行。

此漏洞已修复，并获得了8000$。