xss之CSP bypass

0x01 廬山真面目 —— 何為CSP

看到標題，是否有點疑惑 CSP 是什么東西，簡單介紹一下就是瀏覽器的安全策略，如果 標簽，或者是服務器中回傳 HTTP 頭中有 Content-Security-Policy 標簽 ，瀏覽器會根據標簽里面的內容，判斷哪些資源可以加載或執行，

為了研究CSP（Content Security Policy）對XSS攻擊的防護作用，他們做了對CSP安全模型的首次深入分析，分析了CSP標準中對web缺陷的保護能力，幫助識別常見的CSP策略配置的可能錯誤，并且展示了三類能使CSP無效化的繞過方法，

這次研究所采用的材料基于從Google搜索的索引檔案中所提取到的CSP策略，從語料庫中提取了大約1060億頁的頁面，其中39億是受CSP保護的，其中確認了26,011個獨立的策略，他們發現，由于策略配置錯誤和白名單條目不安全，這些策略中至少有94.72％無法緩解XSS攻擊，基于這樣的研究結果，他們建議在實踐中部署CSP時，使用基于nonce的方法而不是傳統的白名單，并且，他們提出了名為“strict dynamic”的新特性，這是當前在Chromium瀏覽器中實作的CSP3規范的一個新特性，以下會詳細講述為何要使用這種策略和特性，

首先，何為CSP？我們知道，內容安全策略（CSP）是一種宣告機制，允許Web開發者在其應用程式上指定多個安全限制，由支持的用戶代理（瀏覽器）來負責強制執行，CSP旨在“作為開發人員可以使用的工具，以各種方式保護其應用程式，減輕內容注入漏洞的風險和減少它們的應用程式執行的特權”，當前，CSP還處在快速的發展期，目前正在進行規范中的版本是CSP3，CSP標準由用戶代理選擇實作，例如，Chromium具有完整的CSP2支持，并且實作了CSP3的大部分作業草案，僅在某些情況下可能會落后于實驗中的某些特性，而MozillaFirefox和基于WebKit的瀏覽器則剛付訓得了完整的CSP2支持，在實際使用中，CSP策略在Content-Security-Policy HTTP回應頭或元素中提供，

簡單來說CSP

CSP(Content Security Policy) 是一種用來防止 XSS 攻擊的手段, 通過在頭部添加 Content-Security-Policy 的相關引數, 來限制未知(不信任)來源的 javascript 的執行從而防止 XSS 攻擊. 本題并不是要介紹這種技術有什么漏洞, 而且本題所導致的 XSS 攻擊都是因為開發者的不正當配置所致. 所以本題僅僅讓你能成功執行一個彈框的 XSS 注入即可.

0x02 DVWA-low

如果不看原始碼的話，看檢查器（F12），也可以知道一些被信任的網站，

首先我們來查看一下原始碼

<?php

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com  example.com code.jquery.com https://ssl.google-analytics.com ;"; // allows js from self, pastebin.com, jquery and google analytics.

header($headerCSP);

# https://pastebin.com/raw/R570EE00

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    <script src='" . $_POST['include'] . "'></script>
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>You can include scripts from external sources, examine the Content Security Policy and enter a URL to include here:</p>
    <input size="50" type="text" name="include" value="" id="include" />
    <input type="submit" value="Include" />
</form>
';

觀察頭資訊，羅列允許JavaScript的網站 當然你也可以從這里開發者工具來看到這個頭

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com  example.com code.jquery.com https://ssl.google-analytics.com ;";

這個頭部資訊的具體含義可以參考這個參考檔案：https://content-security-policy.com/, 這里直接理解就是能從 https://pastebin.com 等網站加載 javascript, 你可以試試從自己的搭建的服務器中加載 javascript, 結果如下:

可以明顯的看到, 這個 javascript 的加載被 blocked 了(估計 Firefox 的插件 No-script 也是基于這個的). 既然不能從未指定的源加載 javascript, 那我可以從它信任的源, 比如 https://pastebin.com 中來加載. 可能有人不知道這個網站是什么, 我開始也不知道的, 但你打開就會發現這就是個共享粘貼板, 允許你粘貼任何文本內容.

那我們就可以在這個粘貼板網站中寫入一段惡意 javascript, 比如 alert(123), 然后, 通過該網站的 raw 形式(原生)來顯示, 我當時生成的網址是這個:https://pastebin.com/tV3VNjiB, 然后你就可以在 URL 欄中輸入這個網址, 讓瀏覽器將這個遠程加載文本當作 javascript 來執行

結果如下:

看到嘛，在pastebin上保存的js代碼被執行了，那就是因為pastebin網站是被信任的，攻擊者可以把惡意代碼保存在收信任的網站上，然后把鏈接發送給用戶點擊，實作注入，

Medium

通過瀏覽器或者Burp抓包可以看到:

Content-Security-Policy: script-src 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=';

這次使用了兩個新的引數(self 不算哈). 其中 'unsafe-inline' 代表可以執行諸如 onclick 等事件或 script 標簽內的內容這類 javascript, 而后者就是指如果你要使用 script 標簽加載 javascript, 你需要指明其 nonce 值, 比如 <script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert('hacked')</script>這個就能正常加載, 從而造成 XSS 注入.

但需要注意的是, 如果你測驗 <img src="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=" one rror=alert('hacked')> 這類在標簽內執行的 javascript, 會得到如下結果:

即：

錯誤提示告訴我們, 因為頭部指定了 nonce 值, 所以自動忽略了 'unsafe-inline' 這個引數. 因此可以判斷這兩個引數是不能共存的, 而且如果共存, 后者nonce 值是會覆寫前者'unsafe-inline' 的.

這里還有個有意思的地方, 你看那個 nonce 的值很明顯是個 base64 編碼, 我就無聊去解碼了一下, 嗯... 原文"TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA="轉換后是 "Never going to give you up", 還是給出題者 666. 不過呢, 正確的防御方式下的 nonce 值不應該是個固定值, 而是應該是個隨機生成的值, 這樣才能真正達到防止 XSS 的目的.

High

這個級別已經沒有輸入框了, 不過題目已經給了足夠多的提示. 首先先看一下 CSP 頭, 發現只有 script-src 'self';, 看來只允許本界面加載的 javascript 執行. 然后研究了一下這個點擊顯示答案的邏輯(邏輯在 source/high.js里), 大致如下:

在點擊網頁的按鈕使 js 生成一個 script 標簽，src 指向 source/jsonp.php?callback=solveNum，document 物件使我們可以從腳本中對 HTML 頁面中的所有元素進行訪問，createElement() 方法通過指定名稱創建一個元素，body 屬性提供對 <body> 元素的直接訪問，對于定義了框架集的檔案將參考最外層的 <frameset>，appendChild() 方法可向節點的子節點串列的末尾添加新的子節點，也就是網頁會把 “source/jsonp.php?callback=solveNum” 加入到 DOM 中，
原始碼中定義了 solveNum 的函式，函式傳入引數 obj，如果字串 “answer” 在 obj 中就會執行，getElementById() 方法可回傳對擁有指定 ID 的第一個物件的參考，innerHTML 屬性設定或回傳表格行的開始和結束標簽之間的 HTML，這里的 script 標簽會把遠程加載的 solveSum({"answer":"15"}) 當作 js 代碼執行， 然后這個函式就會在頁面顯示答案，

function clickButton() {
    var s = document.createElement("script");
    s.src = "source/jsonp.php?callback=solveSum";
    document.body.appendChild(s);
}
 
function solveSum(obj) {
    if ("answer" in obj) {
        document.getElementById("answer").innerHTML = obj['answer'];
    }
}
 
var solve_button = document.getElementById ("solve");
 
if (solve_button) {
    solve_button.addEventListener("click", function() {
        clickButton();
    });
}

本來應該是沒辦法修改在服務器的 jsonp.php 檔案的(除非結合別的漏洞, 拿 shell 后修改). 然而, 我后來在查看服務端原始碼的時候發現了這個:

if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    " . $_POST['include'] . "
";
}
# 剩余的顯示代碼

666, 竟然還偷偷用POST方式來接收 include 引數的值(不清楚是不是作者復用了之前 Medium 的代碼). 總之, 這肯定能作為一個注入點, 我開始打算用簡單粗暴的 <script>alert(‘hacked’)</script> 來搞定的, 誰知道, 這種是屬于 ‘unsafe-inline’ 形式的, 所以被限制執行了：

既然如此的話, 那我就利用 src 吧，payload在下面，
Payload: POST方式傳參include=<script src="source/jsonp.php?callback=alert('xss');"></script>

成功：

這個即使你不看原始碼, 你做幾個測驗也會發現, 那個 callback 引數可以被我們所操控而生成任何你想要得到的結果，這就是最后導致CSP被繞過而產生漏洞的原因：

Impossible

該級別主要還是修復了 callback 引數可被控制問題(畢竟這是問題根源):

這個級別是 high 級別的加強，JSONP.php 呼叫的回呼函式callback是硬編碼的，CSP 策略被鎖定為只允許外部腳本，

服務器

<?php
 
$headerCSP = "Content-Security-Policy: script-src 'self';";
 
header($headerCSP);
 
?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    " . $_POST['include'] . "
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>Unlike the high level, this does a JSONP call but does not use a callback, instead it hardcodes the function to call.</p><p>The CSP settings only allow external JavaScript on the local server and no inline code.</p>
    <p>1+2+3+4+5=<span id="answer"></span></p>
    <input type="button" id="solve" value="Solve the sum" />
</form>
 
<script src="source/impossible.js"></script>
';

客戶端

 function clickButton() {
    var s = document.createElement("script");
    s.src = "source/jsonp_impossible.php";
    document.body.appendChild(s);
}
 
function solveSum(obj) {
    if ("answer" in obj) {
        document.getElementById("answer").innerHTML = obj['answer'];
    }
}
 
var solve_button = document.getElementById ("solve");
 
if (solve_button) {
    solve_button.addEventListener("click", function() {
        clickButton();
    });
}

參考鏈接

• Content Security Policy Reference