当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020167

漏洞标题:腾讯某处存储型XSS,且看我如何利用来定向劫持用户腾讯微博

相关厂商:腾讯

漏洞作者: se55i0n

提交时间:2013-03-16 21:04

修复时间:2013-04-30 21:04

公开时间:2013-04-30 21:04

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-16: 细节已通知厂商并且等待厂商处理中
2013-03-18: 厂商已经确认,细节仅向厂商公开
2013-03-28: 细节向核心白帽子及相关领域专家公开
2013-04-07: 细节向普通白帽子公开
2013-04-17: 细节向实习白帽子公开
2013-04-30: 细节向公众公开

简要描述:

TSRC的同学你们好,我是来自WooYun的白帽子!

详细说明:

还是iweibo的问题,虽然限制了某参数的httponly不能直接劫持iweibo,但是我们却能利用这个反过来劫持t.qq.com的用户!!!
1)这里以我自己的微博帐号"se55i0n"进行演示,利用上个洞借来的帐号先收听se55i0n,然后广播里@se55ion 输入以下内容;

123</textarea><iframe src=javascript:alert(/1/)>


2)登录se55i0n帐号,在广播里发现这里对关键的字符是做了过滤的,不存在直接的跨站,但是我不小心点到我的听众,却出现了下面的情况;

2.png


3)哈哈,腾讯这里的贴心功能造就了该安全问题,应该是想给用户显示每个听众最后@自己的内容,但是这里却没有对内容进行过滤直接显示了出来 -_-||;
4)知道漏洞产生的原因,那我们就看看能不能利用这个xss劫持用户的帐号吧,进行一番测试发现在广播栏里插入普通的劫持cookie的代码会被腾讯过滤导致代码不完整,但是在广播里输入以下代码,成功绕过防御并执行;

7.png


5)登录se55i0n的帐号,点击我的听众,于是乎;

4.png


6)难道就这么就成功劫持了用户的微博帐号么,NO!使用获取到的cookie登录依然提示输入用户名、密码,当然第一个反应是做了httponly,打开firebug一看,果不其然看参数"t_skey"-_-||

8.png


7)难道就木有办法了么!!!非也,前面有童鞋提到过腾讯的cookie具有通用性,而且查看了本站cookie就一个参数做了httponly,于是我打开了xsser.me分析收到cookie值;

5.png


8)我手工提权了se55i0n登录t.qq.com后的cookie值,跟收到iweibo的cookie值进行了下对比,于是我找到了突破口,收到的iweibo的cookie值居然跟t.qq.com下的一模一样,仅仅多了两个无关痛痒的参数值"ts_last""ts_sid",所以我们利用这个cookie成功登录到了腾讯微博;

6.png


漏洞证明:

见详细说明

修复方案:

版权声明:转载请注明来源 se55i0n@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-03-18 12:08

厂商回复:

非常感谢您的报告。我们会马上安排专人跟进确认处理,有新的情况会及时同步。

最新状态:

暂无