濫用Edge瀏覽器的“惡意站點警告”特性,實現地址欄欺騙
一、前言
在過去的幾個月里,我們看到使用這種以技術支撐的騙術日益增多,用戶的瀏覽器會被辣眼睛的紅屏以及類似”你的電腦可能存在風險”的提示消息”鎖定”。當然,這種情形算是很常見的場景了,除此之外騙子們還在使用層出不窮的技巧來愚弄用戶。
他們為虛假消息渲染一個紅色警告或是藍屏死機(BSOD),有時甚至會攔截警告提示以防用戶離去。當用戶關閉警告框后還會一直彈出一個新的警告框。事實上,通過使用continuous history.pushState trick 技巧Jeromesegura(twitter)發送給我的Chrome版本真的能凍結瀏覽器。
二、分析
Jerome的這個樣本給了我很多啟發,之后我學習了在Edge上用于防止驅動式攻擊的SmartScreen技術,它可以屏蔽掉被列入黑名單的URL。
在SmartScreen Demo中有很多樣本,我選擇了Malware Page。
我知道其他瀏覽器(至少IE以及Chrome)也在做同樣的事情,我很高興在Edge上也能看到。然而,我很好奇這些警告頁面的真實來源,因為地址欄指向的這個URL其內容很明顯不在黑名單之列。這是一個內部資源么?
在Edge中按下F12打開開發者工具,之后在控制臺中鍵入location。
Wow! 似乎真實的URL并沒有顯示在地址欄中。從開發者工具查詢結果中得知真實地址(location.href)為:
- ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm
那么我們看到的這個URL來源于hash?同時,該內部頁面似乎從location.search屬性中獲取了一些信息。
這看起來很有趣吧,我們能否僅僅通過在hash后面設置一個任意字符串,使得地址欄中顯示任意URL?該htm文件又是來自于哪里呢?
注:ms-appx:以及ms-appx-web:協議都是用于加載現代Windows應用程序的內部資源。
接下來我們打開Microsoft Edge瀏覽器目錄看看該文件是否存在。
打開任務管理器 —> 詳細信息 —> 右擊Microsoft Edge –> 選擇屬性。
Microsoft Edge位于C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\,錯誤頁面(上圖開發者工具中所示)在\Assets\ErrorPages目錄內。
這有很多文件,我們使用完整的ms-appx-web URL在Edge瀏覽器下加載它們。就像這樣:
- ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm
然而它卻進入了我的默認搜索引擎。
繼續嘗試從該目錄加載其他htm文件,列表中的第一個為acr_error.htm:
- ms-appx-web://microsoft.microsoftedge/assets/errorpages/acr_error.htm
ok,這一個能成功加載,在我看來Edge瀏覽器是選擇性的允許我們加載一些頁面。
接下來加載BlockSite.htm:
- ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite.htm
沒有成功。事實上,如果我們創建一個指向該URL的網頁,點擊它之后什么也沒有發生,瀏覽器沒有回應。在這種情況下,嘗試使用window.open要更使用一些(參考之前文章末尾提到的思路),因為如果這里存在問題,瀏覽器是會拋出一個錯誤提示的。我們希望的是瀏覽器拒絕執行某些操作時依舊保持無響應,或是瀏覽器至少彈出一個建議或者是錯誤提示。
- window.open("ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite.htm");
至此,我們得到一個拒絕訪問錯誤!瀏覽器明確的提示我們這里存在一個問題(拒絕訪問),之后瀏覽器拒絕加載一個資源。這是速度的問題:現在我們可以使用一個try/catch快速重試,另一方面使用location.href加載一個空值,這使得我們能夠依靠timeout或者一個事件(onload/onerror)以觀察發生了什么。如果我們打算進行模糊測試,相對try/catch來說使用handlers/onload更實用。
使用window.open手動嘗試了幾次之后,我們可以得出Edge瀏覽器能合理加載acr_error.htm頁面,但會完全拒絕加載BlockSite.htm的結論。實際上,改變BlockSite.htm中的少許字符,加載一個不應該存在的頁面卻不會彈出錯誤。這也意味著在Edge瀏覽器深處某個地方有二進制代碼將我們的URL與BlockSite.htm進行比較。
該URL會彈出一個拒絕訪問錯誤:
- ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite.htm
改變少許字符(假如更改BlockSite中的B為C)則不會彈出任何錯誤
- ms-appx-web://microsoft.microsoftedge/assets/errorpages/ClockSite.htm
我們知道通過更改一個簡單的字符可以欺騙Edge瀏覽器,但由于這個頁面根本不存在,所以說這個頁面也就不會加載。我們怎樣才能更改一個字符又確保URL仍然有效?編碼!現在我們嘗試使用ASCII碼2E來替換BlockSite.htm中的點。就像這樣:BlockSite%2Ehtm
- window.open("ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm");
現在Edge允許我們加載資源了,附加一個URL。就像這樣:#http://www.facebook.com
- window.open("ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm"+
- "#http://www.facebook.com");
現在我們可以用一個欺騙性的URL打開這個辣眼睛的網頁,BlockSite.htm僅僅只是從location.search獲得2個參數(BlockedDomain以及Host)。
精彩繼續!(XSS大牛Gareth及Mario:在這里我們還可以玩點花樣出來嘛)
- window.open("ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm?"+
- "BlockedDomain=facebook.com&Host=Technical Support Really Super Legit CALL NOW\:"+
- "800-111-2222#http://www.facebook.com");
我們設置一個類似電話號碼的數字,用戶可以通過單擊鏈接,撥打我們的電話。對騙子來說整套流程非常完美。 作為賞金獵人,我的研究就到此為止了。其實這些內部頁面還有很多有趣的地方,例如needie.html就值得我們去深入研究,因為它可以調用IE來運行。如果你想看它的實際應用,嘗試用Edge瀏覽器點開此頁面,看看它是如何運作的。
三、最后
如果你好奇字符串比較是怎么發生的?為何它會失效?
那么你可以在IDA Free中加載EdgeHtml.dll并分析CURLBlock::s_IsBlockPageUrl函數。
如果你更喜歡實時調試,可以在EdgeHtml!CURLBlock::s_IsBlockPageUrl處設置一個斷點。 祝你好運!
