漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0127255
漏洞标题:phpwindv9.0.1存储型XSS及利用技巧
相关厂商:phpwind
漏洞作者: 我是小号
提交时间:2015-07-23 00:22
修复时间:2015-10-21 10:34
公开时间:2015-10-21 10:34
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-23: 细节已通知厂商并且等待厂商处理中
2015-07-23: 厂商已经确认,细节仅向厂商公开
2015-07-26: 细节向第三方安全合作伙伴开放
2015-09-16: 细节向核心白帽子及相关领域专家公开
2015-09-26: 细节向普通白帽子公开
2015-10-06: 细节向实习白帽子公开
2015-10-21: 细节向公众公开
简要描述:
phpwindv9.0.1存储型XSS及利用技巧(需要一定权限)
详细说明:
漏洞利用需要phpwind版主以及总版主权限,可以在某些情况下被用来获取管理员最高权限。
1.版主和总版主操作(置顶、高亮、精华)帖子的时候,可以填入操作填入理由,在操作理由处填入xss code
反应到Fiddler里面就是
2.被操作帖子所属的用户就会收到通知,展开详情就会触发xss payload
成功收到cookies
至此,一个xss的内容大概讲完了,看官肯定觉得鸡肋点有两处:
1.版主权限
2.phpwind做了http_only防护,导致无法读取cookies里面的csrf_token字段,导致cookies不完整,不能凭XSS平台收到的cookies登录
漏洞证明:
现在我们需要考虑如何绕过这两点鸡肋点:
1.版主权限,可以社工获得。或者是本身已经是版主权限的话就根本不必要执行前面的步骤
2.绕过http_only防护,毕竟“XSS已经属于一个远程代码执行了”--呆子不开口,要获取完整的cookies其实只差一步,就是要获取被http_only的csrf_token字段。
0x_Jin在
WooYun: 我是如何通过一个 XSS 探测搜狐内网扫描内网并且蠕动到前台的!(附带各种 POC)
里面提到过利用XHR结合XSS嗅探内网的技巧,可以用在这里因为phpwind把http_only字段的内容直接写在了页面源代码内的input值内。
所以参考了网上的一些资料,写了一个XSS平台可以用的利用XHR获取页面源代码的脚本,配置一下:
XSS平台就收到整个页面的源代码了
从源代码获取被保护的csrf_token
至此,http_only保护的字段也被获取到了。cookies完整,如果接收的及时的话,就可以凭借cookies去登陆对应账户了,或者进一步利用劫持用户发个帖什么的。
修复方案:
操作理由处htmlencode一下
版权声明:转载请注明来源 我是小号@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2015-07-23 10:32
厂商回复:
您好,经确认漏洞存在,但是利用条件偏高,漏洞等级定为中危。感谢您对阿里巴巴的支持与关注。
最新状态:
暂无