freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SharePoint 2019 XSS漏洞CVE-2020-1456复现
2021-01-21 23:48:42

写在前面的话

在这篇文章中,我们将分析SharePoint 2019中的一个安全漏洞。虽然这个漏洞不是一个典型的JavaScript XSS,但微软还是把这个漏洞定性为了XSS漏洞。

内部部署的SharePoint 2019服务器支持实现的用户配置选项将允许经过身份验证的用户上传图片,而用户配置文件中上传的图像路径可以在保存对话框请求中进行更改。在这里,我们就可以向其中插入任意链接,这将允许我们攻击任何访问嵌入了用户个人资料图片页面的用户。由于SharePoint中用户个人资料图片的出现率很高,因此可能会导致多种攻击场景出现,比如说DoS、用户跟踪和攻击中继等等。目前,该漏洞被归类为了跨站脚本漏洞(XSS),分配的漏洞编号为CVE-2020-1456

环境配置

Windows Server

Windows Server 2019 Evaluation

版本: 1809

OS build: 17763.379

Windows更新:09/09/2019 12:13PM

添加活动目录域服务

SQL Server

安装MS SQL Server 2017 Evaluation Edition

安装类型: 基础安装

安装器版本: 14.1805.40.72.1

数据库版本: 14.0.1000.169

安装Microsoft SQL Server Management Studio Release 18.2

SharePoint 2019

SharePoint Server 2019 (安装版本16.0.10337.12109)

使用Passmark OSFMount (v3.0.1005.0)将IMG文件存储为ISO

以Single-Server模式安装SharePoint

添加User Profile Service应用程序

漏洞评级

漏洞类别:没有对用户提供的输入数据进行正确有效的过滤。

CVSS 2:评分6.5(中危)

CVSS 3.1:评分6.5(中危)

漏洞复现详细说明

在测试SharePoint应用程序的过程中,我还部分测试了SharePoint本身。在启用了用户配置文件的SharePoint设置中,每个用户都可以上传用户个人图片。上传图片后,可以在用户配置文件中查看,然后最终接受图片并永久保存更改,包括所有其他条目。

保存所有更改之后,SharePoint会执行一个POST请求,并给用户显示更改情况:

http://192.168.0.151/_layouts/15/EditProfile.aspx?UserSettingsProvider=234bf0ed-70db-4158-a332-4dfd683b4148&ReturnUrl=http%3a%2f%2f192.168.0.151%2fPerson.aspx%3faccountname%3d%3C span%20style=%22background-color:%20#fcbd00%22%3Epoint%3C/span%3E%255C%3Cspan%20style=%22background-color:%20#fcbd00%22%3Eshareuser%3C/span%3E&changephoto=1

该请求还会包含下列参数:

ctl00$PlaceHolderMain$ProfileEditorEditPictureURL

该参数会存储上传的用户资料图片的路径,并对URL进行编码:

URL编码的参数和值如下所示:

ctl00%24PlaceHolderMain%24ProfileEditorEditPictureURL=http%3A%2F %2F192.168.0.151%3A80%2FUser%2520Photos%2FProfilbilder%2Fpoint_shareuser_Mthumb.jpg

明文参数和值如下:

ctl00$PlaceHolderMain$ProfileEditorEditPictureURL= http://192.168.0.151:80/User%20Photos/Profilbilder/point_shareuser_Mthumb.jpg

我们可以拦截这个POST请求,然后将参数值修改为“http://123.itsec.de/random.png”。因为服务器接受了用户提供的输入,我们就可以在本地存储的图片中嵌入自定义的URL。

修改后的参数值如下:

ctl00$PlaceHolderMain$ProfileEditorEditPictureURL=http://123.itsec.de/random.png

插入的URL已经嵌入其中,此时,这个链接提供的是一个大小为1GB的“图片文件”。我们可以看到,浏览器会请求我们的“图片文件”。

通过分析HTML中-img标签的src参数,我们可以直接在网页的源代码中识别嵌入的链接。

总结

每当用户访问了这些嵌入了链接的包含用户图像的用户个人配置页面时,浏览器都会在后台打开嵌入的链接。这将允许攻击者跟踪目标用户,并在网络中产生大量的流量,或诱使目标设备执行攻击者所想要的攻击。

参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1456

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1456

https://it-sec.de/ger/Aktuelles-Termine/it.sec-blog/it.sec-Research-Team-findet-unbekannte-Schwachstelle-in-Microsoft-Office-SharePoint

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞分析 # XSS漏洞 # SharePoint # 漏洞复现
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑