当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016008

漏洞标题:[腾讯实例教程] 那些年我们一起学XSS - 7. 宽字节、反斜线与换行符一起复仇记

相关厂商:腾讯

漏洞作者: 心伤的瘦子

提交时间:2012-12-14 13:06

修复时间:2013-01-28 13:07

公开时间:2013-01-28 13:07

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-14: 细节已通知厂商并且等待厂商处理中
2012-12-17: 厂商已经确认,细节仅向厂商公开
2012-12-27: 细节向核心白帽子及相关领域专家公开
2013-01-06: 细节向普通白帽子公开
2013-01-16: 细节向实习白帽子公开
2013-01-28: 细节向公众公开

简要描述:

这一次,3个家伙一起上啦~

详细说明:

1. 实例点如下:

http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=digi&libid=2&curpage=1&pagenum=30&filterattr=138,138|16|4,5,4,5&filtervalue=3500-4000,%B4%F3%D3%DA4000|%D0%FD%D7%AA|WCDMA,WCDMA,HSDPA,HSDPA&tplname=centersearch.shtml&orderby=aaaaaaaaaaaa


老规矩,继续看我们的输出。

27.jpg


2. 一共有3处输出,位于HTML属性里的那一处,我们放弃了,因为双引号被灭掉了。那么还剩下2处。 都是位于<script>..</script>里,而且挨在了一起。
3. 先看第2处,是不是似曾相似啊? 对的,教程6里刚刚遇到过。那就是输出在【注释】的情况。我们用换行符试试?

28.jpg


4. 一条是好消息,换行可以用,一条是坏消息。。下面出现的一句坏了我们的好事。。肿么办。
5. 这个时候,我们需要先说点javascript的知识。
javascript,字符串允许下面多行的写法。

var  a="我是一个字符串\
我还是一个字符串";
alert(a);


6. 基于这点,我们可以把缺陷点构造成下面的样子。

//document.getElementById("order_select").value = "aaaa\
alert(1);//";
	var searchOrder = "aaaa\
alert(1);//";


那么代码构造的解析如下:

29.jpg


7.带着这个想法,请上我们的反斜线。。

30.jpg


8. 悲剧的是,反斜线被过滤成了2个\\,这下不好办了。
9. 还记得在教程4里,我们提到的宽字节用法么?说到了 %c0可以吃掉%5c。
我们看看页面的编码。

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />


gbxxx系列的啊,窃喜中。
10. 于是,我们的%c0也加入战斗了。

http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=digi&libid=2&curpage=1&pagenum=30&filterattr=138,138|16|4,5,4,5&filtervalue=3500-4000,%B4%F3%D3%DA4000|%D0%FD%D7%AA|WCDMA,WCDMA,HSDPA,HSDPA&tplname=centersearch.shtml&orderby=aaaa%c0%5c%0aalert(1);//


看看源码中的输出。 \\ 被我们变成了 乱码+\

31.jpg


11. 最后弹窗,见漏洞证明~~
12. 此时,标点符号们正在开会,开会的主题是:“大家好,才是真的好”

漏洞证明:

32.jpg

修复方案:

参加前面教程4,5,6

版权声明:转载请注明来源 心伤的瘦子@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-17 15:07

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-14 13:11 | zsx ( 路人 | Rank:0 漏洞数:3 | undefined)

    刷新一下就看到7了= =

  2. 2012-12-14 13:19 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @zsx 多谢关注

  3. 2012-12-14 13:37 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    上课!

  4. 2012-12-14 13:46 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    报道

  5. 2012-12-14 14:17 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 咱来个剧透呗?打算连载到几呢?

  6. 2012-12-14 14:25 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @鬼魅羊羔 10 - 20之间吧, 能不能20+,看后面能不能找的到实例了。

  7. 2012-12-14 15:09 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 好多。。记得写详细点哈。。

  8. 2012-12-14 15:25 | yy520 ( 普通白帽子 | Rank:139 漏洞数:12 )

    昨天晚上到5,今天早上6,下午7....膜拜ing

  9. 2012-12-14 16:08 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    友情提示:@心伤的胖子系列连载已全部开放,请自备洛阳铲开挖吧!

  10. 2012-12-14 16:32 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    在360的安全大会上.冒着被嗅探的风险上来发一帖....加油...连载到368集

  11. 2012-12-14 17:32 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)

    @only_guest 膜拜啊!这种精神值得啃顶

  12. 2012-12-14 17:40 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @心伤的瘦子 不限腾讯嘛,教程重要~

  13. 2012-12-14 18:31 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @一刀终情 普通站点的,往往没什么过滤,没过滤,教程就没法写。总不能教大家直接复制粘贴,回车+弹窗哈。 而腾讯往往有过滤,有攻有守才好看。

  14. 2012-12-14 19:50 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 你已经很乌云了。。

  15. 2012-12-16 12:46 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @心伤的瘦子 还可以新浪微博系列嘛~~

  16. 2012-12-17 18:58 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    @心伤的瘦子 膜拜

  17. 2013-01-06 15:25 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    @心伤的瘦子 膜拜

  18. 2013-01-19 16:28 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)

    @一刀终情 你个乌鸦嘴。。 WooYun: [新浪XSS一课一练]瘦子XSS教程第2课:输出在<script></script>之间

  19. 2013-01-28 13:57 | unxss ( 路人 | Rank:12 漏洞数:4 )

    很精彩。

  20. 2013-02-06 14:43 | Stream ( 路人 | Rank:6 漏洞数:2 | 低头要有勇气,抬头要有底气!)

    屌爆了

  21. 2013-02-16 18:43 | mole3o ( 路人 | Rank:10 漏洞数:2 | 学生一枚,青春向上的白帽子。)

    精彩!

  22. 2013-06-19 21:11 | Kuuki ( 普通白帽子 | Rank:158 漏洞数:23 | :P)

    精彩啊 膜拜一下

  23. 2014-03-28 14:52 | waldens ( 路人 | Rank:0 漏洞数:1 | 小菜鸟一枚)

    神!!

  24. 2014-05-13 01:14 | weiweiwind ( 路人 | Rank:0 漏洞数:1 | 菜鸟学习中~)

    js不是非常熟练,还是常规点好price%c0%22;%0aalert(0);//

  25. 2014-05-26 10:49 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    好玩

  26. 2014-12-02 11:27 | 风之传说 ( 普通白帽子 | Rank:138 漏洞数:28 | 借用朋友的一句话,你的时间在哪里,你的成...)

    难得的是能找到无数的好例子。。更能难得的是,可以把一些细节运用的如此精妙。。妙到豪巅。