如何進(jìn)行SharePoint 2019 XSS漏洞CVE-2020-1456復(fù)現(xiàn)

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)如何進(jìn)行SharePoint 2019 XSS漏洞CVE-2020-1456復(fù)現(xiàn)，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

寫在前面的話

我們將分析SharePoint 2019中的一個(gè)安全漏洞。雖然這個(gè)漏洞不是一個(gè)典型的JavaScript XSS，但微軟還是把這個(gè)漏洞定性為了XSS漏洞。

內(nèi)部部署的SharePoint 2019服務(wù)器支持實(shí)現(xiàn)的用戶配置選項(xiàng)將允許經(jīng)過身份驗(yàn)證的用戶上傳圖片，而用戶配置文件中上傳的圖像路徑可以在保存對話框請求中進(jìn)行更改。在這里，我們就可以向其中插入任意鏈接，這將允許我們攻擊任何訪問嵌入了用戶個(gè)人資料圖片頁面的用戶。由于SharePoint中用戶個(gè)人資料圖片的出現(xiàn)率很高，因此可能會(huì)導(dǎo)致多種攻擊場景出現(xiàn)，比如說DoS、用戶跟蹤和攻擊中繼等等。目前，該漏洞被歸類為了跨站腳本漏洞（XSS），分配的漏洞編號(hào)為CVE-2020-1456。

環(huán)境配置

Windows Server

Windows Server 2019 Evaluation

版本: 1809

OS build: 17763.379

Windows更新：09/09/2019 12:13PM

添加活動(dòng)目錄域服務(wù)

SQL Server

安裝MS SQL Server 2017 Evaluation Edition

安裝類型: 基礎(chǔ)安裝

安裝器版本: 14.1805.40.72.1

數(shù)據(jù)庫版本: 14.0.1000.169

安裝Microsoft SQL Server Management Studio Release 18.2

SharePoint 2019

SharePoint Server 2019 (安裝版本16.0.10337.12109)

使用Passmark OSFMount (v3.0.1005.0)將IMG文件存儲(chǔ)為ISO

以Single-Server模式安裝SharePoint

添加User Profile Service應(yīng)用程序

漏洞評級

漏洞類別：沒有對用戶提供的輸入數(shù)據(jù)進(jìn)行正確有效的過濾。

CVSS 2：評分6.5（中危）

CVSS 3.1：評分6.5（中危）

漏洞復(fù)現(xiàn)詳細(xì)說明

在測試SharePoint應(yīng)用程序的過程中，我還部分測試了SharePoint本身。在啟用了用戶配置文件的SharePoint設(shè)置中，每個(gè)用戶都可以上傳用戶個(gè)人圖片。上傳圖片后，可以在用戶配置文件中查看，然后最終接受圖片并永久保存更改，包括所有其他條目。

保存所有更改之后，SharePoint會(huì)執(zhí)行一個(gè)POST請求，并給用戶顯示更改情況：

http://192.168.0.151/_layouts/15/EditProfile.aspx?UserSettingsProvider=234bf0ed-70db-4158-a332-4dfd683b4148&ReturnUrl=http%3a%2f%2f192.168.0.151%2fPerson.aspx%3faccountname%3d%3C span%20style=%22background-color:%20#fcbd00%22%3Epoint%3C/span%3E%255C%3Cspan%20style=%22background-color:%20#fcbd00%22%3Eshareuser%3C/span%3E&changephoto=1

該請求還會(huì)包含下列參數(shù)：

ctl00$PlaceHolderMain$ProfileEditorEditPictureURL

該參數(shù)會(huì)存儲(chǔ)上傳的用戶資料圖片的路徑，并對URL進(jìn)行編碼：

URL編碼的參數(shù)和值如下所示：

ctl00%24PlaceHolderMain%24ProfileEditorEditPictureURL=http%3A%2F %2F192.168.0.151%3A80%2FUser%2520Photos%2FProfilbilder%2Fpoint_shareuser_Mthumb.jpg

明文參數(shù)和值如下：

ctl00$PlaceHolderMain$ProfileEditorEditPictureURL= http://192.168.0.151:80/User%20Photos/Profilbilder/point_shareuser_Mthumb.jpg

我們可以攔截這個(gè)POST請求，然后將參數(shù)值修改為“http://123.itsec.de/random.png”。因?yàn)榉?wù)器接受了用戶提供的輸入，我們就可以在本地存儲(chǔ)的圖片中嵌入自定義的URL。

修改后的參數(shù)值如下：

ctl00$PlaceHolderMain$ProfileEditorEditPictureURL=http://123.itsec.de/random.png

插入的URL已經(jīng)嵌入其中，此時(shí)，這個(gè)鏈接提供的是一個(gè)大小為1GB的“圖片文件”。我們可以看到，瀏覽器會(huì)請求我們的“圖片文件”。

通過分析HTML中-img標(biāo)簽的src參數(shù)，我們可以直接在網(wǎng)頁的源代碼中識(shí)別嵌入的鏈接。

每當(dāng)用戶訪問了這些嵌入了鏈接的包含用戶圖像的用戶個(gè)人配置頁面時(shí)，瀏覽器都會(huì)在后臺(tái)打開嵌入的鏈接。這將允許攻擊者跟蹤目標(biāo)用戶，并在網(wǎng)絡(luò)中產(chǎn)生大量的流量，或誘使目標(biāo)設(shè)備執(zhí)行攻擊者所想要的攻擊。

上述就是小編為大家分享的如何進(jìn)行SharePoint 2019 XSS漏洞CVE-2020-1456復(fù)現(xiàn)了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。