当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-055343

漏洞标题:畅想听吧之博客多处安全漏洞礼包

相关厂商:cxt8.com

漏洞作者: 伟哥

提交时间:2014-04-12 09:06

修复时间:2014-05-27 09:07

公开时间:2014-05-27 09:07

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-12: 细节已通知厂商并且等待厂商处理中
2014-04-12: 厂商已经确认,细节仅向厂商公开
2014-04-22: 细节向核心白帽子及相关领域专家公开
2014-05-02: 细节向普通白帽子公开
2014-05-12: 细节向实习白帽子公开
2014-05-27: 细节向公众公开

简要描述:

QAQ 昨天问了问 网站的客服 貌似网站的高管对XSS还是挺重视的
请审核大大手下留情

详细说明:

首先是储存型XSS

1.jpg


单机查看源码 插入XSS代码

2.jpg


触发点 1主页置顶 直接触发 触发地址 http://blog.cxt8.com/123654/articles
用户名+articles
触发点 2 文章触发http://blog.cxt8.com/123654/Articles/Show/80000000000004D5.html

3.jpg


忽然发现 可以在主页 评论 于是抄起神器开始截断

.jpg


/123654/Comment/CommentAdd?parentid=0&pindex=1&content=%u54C7%uFF01%u597D%u8D5E%u597D%u8D5E%u54E6%uFF01%uFF01%uFF01%3CBR%3E&commenttype=101&is_desc=true&keyid=1&callback=jQuery1620412802761401835_1396429516079&_=1396429531578
这个貌似 就是品论连接了 发现封包内并没有POT数据也没验证
所以 QAQ 貌似可以利用一下 刷下品论什么的
由于 没有 POT数据 就可以用图片触发了 先本地访问下 发现出了N多字符

2.jpg


访问了下 - - 这么乱码是怎么回事 QAQ 但是也能评论
但是貌似 只能品论一次 于是不甘心的 尝试突破
最终尝试结果在 123654 也就是用户名前多加个/可以多评论一次
http://blog.cxt8.com///123654/Comment/CommentAdd?parentid=0&pindex=1&content=%u54C7%uFF01%u597D%u8D5E%u597D%u8D5E%u54E6%uFF01%uFF01%uFF01%3CBR%3E&commenttype=101&is_desc=true&keyid=1&callback=jQuery1620412802761401835_1396429516079&_=1396429531578
http://blog.cxt8.com/123654/Comment/CommentAdd?parentid=0&pindex=1&content=%u54C7%uFF01%u597D%u8D5E%u597D%u8D5E%u54E6%uFF01%uFF01%uFF01%3CBR%3E&commenttype=101&is_desc=true&keyid=1&callback=jQuery1620412802761401835_1396429516079&_=1396429531578
于是开始构造

3.jpg


4.jpg


5.jpg


成功 QAQ 我就不找用户测试了 估计效果是一样的 加强判断验证
好的那么我们来测试 平行权限
http://blog.cxt8.com/ 首先博客是对外公开的 这样我们查看任意人的博客日志
就算不公开 也可以穷举
于是看到了 列于榜首的 华风 大大 QAQ 大大对不起我就先拿你开刀了
先截断编辑日志的 操作 得出结果

12.jpg


123654/Articles/Write/80000000000004D5.html
这段就应该是 请求 编辑博客的连接了 80000000000004D5.html
应该就是博客的文件吧 QAQ 满心欢喜的 构造了个连接 去华风大大的博客去做测试
结果如下 QAQ

1.jpg


他喵的 居然告诉我无权限 QAQ 怎么办 好纠结 于是不甘心的再次测试
这回记住华风大大的 文章 地址 然后修改我的文章地址
8000000000000024.html 这就是他的地址

h.jpg


如图 QAQ 卧槽 居然进去了 我真TM机智

WQC5U@]OB(W31SWS]S4TKP8.jpg


删除也是同样原理 QAQ 就不掩饰了
乌云从此 又多了一个厂商 此网站安全 也将无忧 我胸前雪白的红领巾 更加鲜艳了
另厂商大大 求礼物啊 QAQ 小菜检测 勿喷 另请关注畅想听吧其他礼包。

漏洞证明:

2.jpg

修复方案:

过滤 加强验证

版权声明:转载请注明来源 伟哥@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-12 09:52

厂商回复:

很可爱的作者

最新状态:

暂无