当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048141

漏洞标题:绕过startbbs防御继续盲打管理员(两种方法)

相关厂商:startbbs.com

漏洞作者: 梧桐雨

提交时间:2014-01-07 12:57

修复时间:2014-04-07 12:58

公开时间:2014-04-07 12:58

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-07: 细节已通知厂商并且等待厂商处理中
2014-01-11: 厂商已经确认,细节仅向厂商公开
2014-01-14: 细节向第三方安全合作伙伴开放
2014-03-07: 细节向核心白帽子及相关领域专家公开
2014-03-17: 细节向普通白帽子公开
2014-03-27: 细节向实习白帽子公开
2014-04-07: 细节向公众公开

简要描述:

startbbs已经对xss有过滤措施,但是有办法绕过。这里我依然以官方为demo作为测试,因为官方的是最新版。

详细说明:

问题出现在发帖的正文文本框:盲打的概率非常高的。
测试了常规的html代码,发现只剩下img标签,其他的都被过滤了,因此可以在img上能发挥作用的只有on系列的事件了。
测试尝试和之前那样

1.jpg


发布上面的代码,发现过滤成下面这样:

2.jpg


尝试用javascript:伪协议去触发:但是又被过滤成这样:

3.jpg


也就是常规的在敏感字符那加入x 来让事件等功能失效。
到了这一步,暂时没有了头绪。
过了几天之后忽然想到之前新浪邮箱的过滤方式也是如此。
恰当好处,我关注了二哥新浪邮箱xss bypass。
WooYun: 新浪邮箱正文存储型XSS,空字节不仅能上传,还能跨站 (新浪邮箱正文存储型XSS,空字节不仅能上传,还能跨站)
那不如试试\0 空字节看看能否绕过?
发布如下帖子:
<img src=1 o\0n\0error="alert(1)"/>

8.jpg


惊奇的发现成功绕过了官方过滤。植入xsser.me的代码。成功获取了cookie

9.jpg


上面是第一种,危害较大。第二种相对而言危害较小,是通过css的expression全角字符去绕过,这里不需要用到\,因此还需要着重过滤一下。测试poc:(仅ie6有效)

<img src=1 style="x:expression(alert(1))"/>


漏洞证明:

都在详细说明里头了。

修复方案:

<img>插入标记里头一定不准出现\,过滤还是用白名单吧,把img的事件统统封杀掉。。。

版权声明:转载请注明来源 梧桐雨@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-01-11 22:30

厂商回复:

尽快修复

最新状态:

暂无