当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018599

漏洞标题:搜狐微博首页储存型XSS,可以插任意东西,可以大范围蠕虫、刷粉丝、钓鱼 ~~(☆_☆)/~~

相关厂商:搜狐

漏洞作者: px1624

提交时间:2013-02-11 21:29

修复时间:2013-03-28 21:30

公开时间:2013-03-28 21:30

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-11: 细节已通知厂商并且等待厂商处理中
2013-02-11: 厂商已经确认,细节仅向厂商公开
2013-02-21: 细节向核心白帽子及相关领域专家公开
2013-03-03: 细节向普通白帽子公开
2013-03-13: 细节向实习白帽子公开
2013-03-28: 细节向公众公开

简要描述:

这里先祝大家新年好,恭喜发财~
春晚后上网看到刘谦、力宏和云迪三人的故事,然后顺藤摸瓜就来到了搜狐微博,然后觉得那个位置比较可疑,就去试了试,果然感觉比较准,确实存在严重的漏洞,随便插啥玩意都行。。。

详细说明:

漏洞原因:post数据中的pics没有过滤 \
漏洞影响:随便插啥代码都行,可以大范围蠕虫、刷粉丝、钓鱼等
1 位置在搜狐微博发图片的那个pics参数中。
下面是一条普通的带图微博的post数据

msg	分享图片
pics	[{"url":"http://s3.t.itc.cn/mblog/pic/20132_11_3/s_pzenz7686783935702.jpg","extraData":{"smallest":{"w":90, "h":120, "size":5010},"small":{"w":160, "h":213, "size":11146},"middle":{"w":312, "h":416, "size":24486},"big":{"w":312, "h":416, "size":24486}}}]


可以看到其中的pics是以json的形式发送的。
2 于是这里果断去测试了一下 \ ,因为在js中可以用 \+ASCII码 的形式表示任意字符的,果然没有过滤。
然后就顺手在url参数的jpg后面加了 "onload="alert(1) 的js编码(我就这么叫吧)形式,post数据就变成了下面的代码

msg	分享图片
pics [{"url":"http://s3.t.itc.cn/mblog/pic/20132_11_3/s_pzenz7686783935702.jpg\u0022\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0022\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029","extraData":{"smallest":{"w":90, "h":120, "size":5010},"small":{"w":160, "h":213, "size":11146},"middle":{"w":312, "h":416, "size":24486},"big":{"w":312, "h":416, "size":24486}}}]


ps:这里可以利用gainover的工具进行js编码转换 http://app.baidu.com/app/enter?appid=280383
发现成功插入了代码,弹出了1
图1

1.jpg


3 接着又分别测测试了插入<img>、<iframe>、<script>等标签对,表示都毫无任何压力的成功插入了。(有没有成功插入可以通过谷歌浏览器F12用颜色区分,或者复制到外部txt中查看)
图2 3 4
插<img>

2.jpg


插<iframe>

3.jpg


插<script>

4.jpg


4 如上,可以调用任意外部js文件,由于post数据中没有key、token等东西,所以蠕虫表示毫无压力。
具体蠕虫和刷粉丝的利用可以查看 @imlonghao 的这个帖子 WooYun: 搜狐微博某处存储型小松鼠+顺便提一提相关接口未加上TOKEN
5 cookie就算了,能盗取到,不过搜狐微博是http-only的,盗取到了也么啥用,也登不上(不过可以通过伪造钓鱼页面 骗取账号和密码)。还不如搞蠕虫,刷粉丝实在。
6 最后,也不奢求能有礼物,只求把rank给够。不要直接啥都不回复甩个 5rank 给我,因为这个的确危害影响蛮大的!~

漏洞证明:

漏洞证明上面描述的已经很清楚了,这里就发个弹cookie的图吧。。
图5

5.jpg

修复方案:

过滤 \
ps:字符\全部都被乌云编辑器转换成了\\,剑心帮忙给改下。(改好后这句话删了额)

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-02-11 23:56

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-02-11 21:51 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    收听风萧萧吸了么?

  2. 2013-02-11 22:28 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    看春晚手都能抖一下,厉害!!!!@px1624

  3. 2013-02-11 22:32 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @风萧萧 。。。么有,搜狐微博不玩,只是因为那个消息是来源于搜狐微博的,所以才有了这个,并不是专门去挖的。

  4. 2013-02-11 22:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Coody 。。你目前的rank有点霸气。。不怎么和谐诶、、、o(╯□╰)o

  5. 2013-02-11 23:22 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    我也是经常小手一抖就有洞了

  6. 2013-02-12 00:41 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @搜狐 诶之前看到有个类似的给了20rank、、、郁闷~~ WooYun: 搜狐微博存储型XSS漏洞二

  7. 2013-02-12 07:08 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @px1624 你没让人家过好年呀!

  8. 2013-02-12 10:16 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @px1624 哈哈,我的rank值霸气有点侧漏了哈,,,

  9. 2013-03-15 13:33 | 烨少 ( 路人 | Rank:5 漏洞数:1 )

    你们都很霸气侧漏

  10. 2013-03-29 13:34 | 屌丝王爷 ( 路人 | Rank:4 漏洞数:4 | 心境随和些,处事淡然些。)

    淡定的过来看看

  11. 2013-10-10 17:21 | 咖啡 ( 实习白帽子 | Rank:48 漏洞数:20 )

    好像还没修复啊