又是二道贩子翻译搬运墙外技术文章的一天。然而这次不能叫搬运,某种意义上是出口转内销了。但是技不如人被疯狂打脸,打出 GG。
Ryan Pickren 曾经在 2020 年因为组合利用 Safari 解析 URL 的 bug 而转化成 UXSS,绕过同源策略并“借用”合法网站的权限访问摄像头,获得 Apple Security Bounty 75,000 刀的奖金。
最近这个系列出了第二集 make your WebCam great again。十万刀的 UXSS!
图片来源:Ryan Pickren 博客
里面其实不止一个漏洞,也不只一个利用场景,但总的来说入口点用了 Safari 信任的 URL scheme 和 iCloud 文件分享功能。
那么为什么说我脸都被打肿了呢?因为……本公众号开通后发的第一篇文章就是讲的这个:
想必到这读者也看明白了。其实就是一个文件分享功能,可以直接运行程序而已,还有诸多限制和预备步骤,也不能直接远程发给别人。这显然不是漏洞。本文仅供愚人节、朋友圈、水群等场景娱乐用。
0xcc,公众号:非尝咸鱼贩如何假扮一个浏览器 0day 漏洞
所谓话不能说得太绝对。
我一开始觉得这个东西没用,是因为逃不掉一个确认打开 iCloud 共享的弹窗。我在 gists 也发了一遍英文的,注意这个最后活动日期 12 个月前。
但在 Ryan Pickren 的测试报告里,这个弹窗确认其实影响不算大。
通过 iCloud 文件共享这个关键的入口点,虽然非默认配置以及存在一些利用限制条件,作者仍然靠这个口子撕开了不小的攻击面。
后面就是组合各种文件下载的技巧,最惨的是作者也在原文里也多次提到我之前有一篇 BlackHat Europe 的演讲给了他很多参考。
哭晕在厕所。
iCloud Sharing 这个步骤可以参考本公众号最开始发的第一篇文章。这个功能可以给在 macOS 上登录了 iCloud 的用户(实际上不是每个人都会启用,也就是非默认安装)通过 URL 分享一个文件。
而在我当时的一篇 BlackHat Europe 演讲就提到这个 icloud-sharing:// 被硬编码到 Safari 的信任名单里去了,从浏览器跳过去不需要确认。弹窗是 iCloud 相关的 App 的提示是否打开文件的。
当受害者第一次点开链接的时候会弹窗提问,但默认的选项是允许,而且只用点一次,之后都是静默的。在这里有一个新的设计缺陷。iCloud 文件共享对应的是文件 id,而不是文件名。
一旦受害者确认打开了文件,之后这个文件的扩展名和内容就会和上游修改自动同步,攻击者可以任意更新!
攻击者最开始分享一个正常的文件(如照片)让受害者上钩,接下来便可以把文件更新成任意类型。再回到浏览器这边,分享的 URL 仍然是之前的,因为已经点过一次信任了,之后就可以静默地从浏览器跳出去打开新的文件!
相当于有了任意文件名和内容伪造(之后再换成真正的攻击载荷),这样交互的缺点就显得没那么重要了。
接下来就是利用操作系统预装的应用程序文件关联来打包下载更多文件,最后通过 webarchive 格式实现 UXSS。甚至弹计算器的 PoC 和我贴的 gists 都是一样的……
这篇文章对应的漏洞有 CVE-2021-30861、CVE-2021-30975 ,得到了十万美金的 bug bounty。
后面的内容酸到没心情翻译了,容我去打会游戏缓缓。要不我也开个星球算了,总好过白送啊 
完整的细节请直奔英文原文 + Google 翻译
https://www.ryanpickren.com/safari-uxss
封面图为原创
原文始发于微信公众号(非尝咸鱼贩):GG,十万刀的 UXSS
