当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016934

漏洞标题:蘑菇街xss两枚,绕过滤拿妹纸cookie

相关厂商:蘑菇街

漏洞作者: hqdvista

提交时间:2013-01-05 15:30

修复时间:2013-02-19 15:31

公开时间:2013-02-19 15:31

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-05: 细节已通知厂商并且等待厂商处理中
2013-01-05: 厂商已经确认,细节仅向厂商公开
2013-01-15: 细节向核心白帽子及相关领域专家公开
2013-01-25: 细节向普通白帽子公开
2013-02-04: 细节向实习白帽子公开
2013-02-19: 细节向公众公开

简要描述:

蘑菇街xss两枚,可绕过过滤拿妹纸cookie

详细说明:

先来重点的:首先是一个dom型xss,url参数输出在js里面。原始url在http://www.mogujie.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/addpic?callback=parent;prompt(/test/);//&code=3002

Screen Shot 2013-01-03 at 12.28.38 PM.png


刚开始弹窗很容易,可是剑心告诉我们缺乏可以影响他人帐号或数据的证明案例,于是要进一步利用。
果然弹document.cookie就弹不出来了

Screen Shot 2013-01-05 at 3.25.29 AM.png


原来是被卡擦掉了,更换大小写也不行。包括document.write document.body.append都被卡擦掉了。
但是妹纸还是要跨的,怎么绕?用object.func 等同于object["func"],
于是有document.cookie === document[String.fromCharCode(99,111,111,107,105,101)]

Screen Shot 2013-01-05 at 3.29.30 AM.png


成功pia出。
然后构造payload时用document[String.fromCharCode(119,114,105,116,101)] 代替 document.write。
这个网页木有body,所以调用document.body.append会null object... 还是用document.append。
调用外部js效果如下

Screen Shot 2013-01-05 at 3.47.27 AM.png


——————————————
另外一个就是平常的反射xss了,直接弹cookie,木有过滤
http://www.mogujie.com/magic/brand/1qi?keyword=1%3C%2ftitle%3E%3Cscript%3Eprompt%28document.cookie%29%3C/script%3E

Screen Shot 2013-01-05 at 3.35.13 AM.png

漏洞证明:

Screen Shot 2013-01-05 at 3.32.28 AM.png


修复方案:

输出的时候encode一下?

版权声明:转载请注明来源 hqdvista@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-01-05 15:35

厂商回复:

谢谢 朋友, 我们尽快修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-01-05 19:15 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    楼主V5,我也去蘑菇街转了会,都么找到。。。诶,丧心

  2. 2013-01-05 20:03 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @px1624 继续努力撒!蘑菇街礼物很给力的,关键还有一封CTO写的感谢信!

  3. 2013-01-05 20:55 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @风萧萧 能透漏下啥礼物不?其实我也觉得蘑菇街挺好 只要确认漏洞 就给送礼

  4. 2013-01-06 12:59 | hqdvista ( 普通白帽子 | Rank:154 漏洞数:31 | N/A)

    @风萧萧 球礼物啊,现在还没消息...

  5. 2013-01-06 13:20 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @hqdvista 。。。我也发了蘑菇街的 都还没审核。。

  6. 2013-01-13 20:00 | hqdvista ( 普通白帽子 | Rank:154 漏洞数:31 | N/A)

    礼物收到了,妹子表示还不错~

  7. 2013-04-10 13:41 | 盛大网络(乌云厂商)

    这个还没有彻底修复啊。

  8. 2013-04-11 12:26 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    document.cookie === document[String.fromCharCode(99,111,111,107,105,101) 学习了...