黑客微信:看我怎么发现微软Outlook for Android移动使用的XSS缝隙

今日共享的Writeup是关于Outlook for Andriod的存储型XSS缝隙，作者通过朋友发来的技能邮件偶尔发现了该缝隙，历经长达几个月的复现结构，终究微软承认了该缝隙（CVE-2019-1105）。
缝隙发现原因
2018年末的时分，我一个朋友发邮件请我帮助剖析他在研讨的一些JavaScript代码，尽管我不做缝隙发掘，但他发过来的邮件在我的手机上显现出了一些古怪的东西。我手机是安卓体系，以下是隐去发件人信息的邮件显现截图：

那个灰色边框，越看越有点奇葩。当我剖析后发现。这或许是其间JavaScript包含了一个HTML *** 的iframe结构，该iframe结构在解析时，手机运用无法正常显现出现。但可疑的是，当我用笔记本电脑翻开邮件时，整个解析都是正常的，如下所示：

这

《Dive into Windbg》是一系列关于怎样了解和运用Windbg的文章，首要包含三个方面：让我觉得是一个问题：在邮件中嵌入iframe结构或许会是一个缝隙，这或许和我手机上的Outlook运用有关。就Outlook来说，比较扯的是，iframe结构不受阻挠外部图画设置的BlockExternalImages影响，可是，假如攻击者有才能在邮件中植入可工作的JavaScript代码，那将会是一个危险的安全要挟。
BlockExternalImages：Outlook  for iOS/Andriod中的安全设置，BlockExternalImages设置为true时将启用阻挠外部图画。
有鉴于此，为了验证我的猜想，我测验在电子邮件中刺进脚本标签tag去替代iframe结构，可是不可。可是，我发现，可以通过在iframe结构中运用JavaScript URL，就能结构出一种绕过这种约束的 *** ，这就十分有意思了。
通过电子邮件完成的存储型XSS（Stored XSS）
一般，在一个Web浏览器中，可以通过javascript:这样的语法 *** 来调用一个URL，可是因为同源战略约束，独自域下的iframe结构中的JavaScript是不能对页面中的其它数据进行拜访获取的。在Outlook for Andriod运用中，却不存在这样的约束，我结构的iframe结构中的JavaScript可以对我的用户cookie、token乃至其它邮件建议拜访，不仅如此，还能把这些信息发回给攻击者的长途操控端，汗……。
这种安全问题适当可怕，要完成缝隙运用，攻击者只需发送一封包含有通过结构的JavaScript代码邮件给受害者，受害者用Outlook翻开就会中招。正常来说，Outlook会对一些不安全的语法语义进行过滤转义，但因为结构的JavaScript代码处于iframe结构中，Outlook服务端不会对其进行勘探发现，所以当邮件传送交给后，Outlook客户端也不会对其实行过滤转义，终究，包含在iframe结构中现在，我们将运用ed指令实行提权操作。为此，我们需求设置具有管理权限的ed command lab。然后，我们将检查获取sudo权限后对它的影响，以及我们怎样更多地将其用于提权。的JavaScript就能在客户端手机设备上成功工作了。这也便是我们所说的存储型XSS（Stored XSS），这种类型缝隙的危险危险极大，攻击者可以运用它来完成多种意图，包含盗取信息和回传数据。攻击者只需向受害者发送一封结构好的邮件，当受害者阅览之后，就能盗取受害者的cookie、其它邮件或是个人数据等灵敏信息。严要点说，这种存在于邮件阅览客户端的Stored XSS可经兵器化分发布置，形成大规模的蠕虫或恶意软件 *** 的损坏感染。
缝隙上报后的复现进程
我觉得这是一个大问题，急需让微软方面知晓。所以，针对该缝隙，我制造了一个简略的PoC，它会实行一段恣意外部脚本去盗取和回传个人灵敏信息，因为缝隙运用结构不行深化，其间没有太多对邮件数据的拜访获取展现。我立刻把这个PoC发给了微软安全团队。
关于该缝隙，我的确不知道引发缝隙的源代码出在哪里，因为我自己就没有Outlook程序源码，并且，我根本没有调试移动运用的经历，但我想开发人员看到这段PoC后应该能了解。
但惋惜的是，微软安全团队却复现不了该缝隙，我也陷入了尴尬和窘境，但这显着是真的啊，我又向微软安全团队发了一段我这边缝隙复现的视频，之后，我了解到