当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022898

漏洞标题:奇葩方法盲打爱丽网(真的很奇葩)

相关厂商:aili.com

漏洞作者: 黑匣子

提交时间:2013-05-02 11:07

修复时间:2013-05-07 11:08

公开时间:2013-05-07 11:08

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-02: 细节已通知厂商并且等待厂商处理中
2013-05-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

看乌云那么多人都收到了爱丽网的礼物,我闲着无聊也对爱丽网进行一次检测!

详细说明:

我先在这个网站上注册个账号8787887(删了吧),然后逛了一下网站,看了下大致结构,分析得出,这个站都被乌云的哥们检测了那么多次了,明面很难找到XSS和上传漏洞,难不成扫一天网站目录?深入分析?这样不值吧?然后我就在上传相册哪里分析了下看看能不能上传构造(就算不能上传PHP文件只要有构造还是可以利用的!),果然在上传照片这里发现BUG,上传照片可以构造URL,但是发现一个问题,就算你改变了图片后缀,访问照片地址为.PHP,实际上服务器上存储的照片格式还是GIF。于是乎想了下既然可以改变URL,能不能插入其他代码呢?先弹窗一下试试!闭合图片地址加入JS代码。

1.jpg


可以看出成功弹窗!

2.jpg


3.jpg


最后在插入盗取Cookie的代码,发现竟然把“.”过滤了,仔细想想过滤点是很正常的,不然很容易存在解析漏洞的,正打算提交乌云的时候,忽然想起来以前利用URL编码%2e来代替这个点拿shell的经历。试了试果然可以盗取Cookie,然后就是找用户反顾页面把这个页面提交给管理员,等待后台Cookie…等了2天只等到管理Cookie,

.jpg


可惜没有等到管理后台的地址!本来想加管理的QQ欺骗一下,感觉没有必要非进后台。

漏洞证明:

以上就是

修复方案:

既然服务器上都限制了上传格式,为什么客户端还能控制呢?把这处改为先上传到服务器上,再去获取图片URL会不会比先获取URL再上传好点?

版权声明:转载请注明来源 黑匣子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-05-07 11:08

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-02 11:53 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    爱丽网给的礼物,给我一份什么保湿霜…………

  2. 2013-05-02 12:23 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)

    @wefgod 哈哈,不错啊- -

  3. 2013-05-02 12:23 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    @wefgod 有面膜的:)

  4. 2013-05-02 12:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @专业种田 @黑匣子 本来以为给的东西是女的用的,想给女朋友的,结果……男士专用啊!然后就送老爸了

  5. 2013-05-02 12:36 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)

    @爱丽网 知道为什么没有打进后台了,因为管理员是通过后台把这个地址复制出来的! 并且后台和前台没有打通登录(可能是吧,没有进过爱丽网后台,不知道管理员账号能不能登录前台),所以有管理员Cookie也不能登录前台

  6. 2013-05-02 13:10 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @黑匣子 管理员通过后台把这个地址复制出来 后台和前提没打通登录..啥意思啊...真心看不明白...爱丽网后台好像是限制外网登录的吧...

  7. 2013-05-02 14:32 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)

    @Rookie 管理员通过后台把这个地址复制出来(公布了,就看明白了!)。后台和前台没有打通登录:有些网站程序是管理员可以登录前台进行操作的(比如DZ),有些是不行的(比如多多返利网源码,管理员账号就不能登录前台)。不知道爱丽网后台有没有限制外网登录

  8. 2013-05-02 16:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @wefgod 台历要不要?哈哈~~

  9. 2013-05-02 16:08 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    话说爱丽网后台我也有打到,很早之前都有打到了,现在一直持久劫持。坑爹的是 进不去啊。。

  10. 2013-05-02 18:40 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @黑匣子 爱丽网后台有登陆限制的.外网禁止登陆 @px1624 你弄了几本台历 哈哈~~

  11. 2013-05-02 18:55 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)

    @Rookie 哈哈 台历不错啊!电子版的吗?

  12. 2013-05-02 19:02 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @黑匣子 @Rookie 两本。纸质的诶。。

  13. 2013-05-07 11:22 | 龙臣 ( 路人 | Rank:14 漏洞数:5 | 人生就是一个缓慢被骗的过程。)

    忽略了、、我汗

  14. 2013-05-07 11:37 | 爱丽网(乌云厂商)

    @黑匣子 最近公司搬家,确实是给忘掉了,Rank 可能给不了了,不过礼物是一定要有的 ..

  15. 2013-05-07 14:26 | 龙臣 ( 路人 | Rank:14 漏洞数:5 | 人生就是一个缓慢被骗的过程。)

    @爱丽网 乔迁都不忘安全 服务器没搬丢吧、、

  16. 2013-05-08 21:00 | rampage ( 实习白帽子 | Rank:93 漏洞数:16 | 网站建设、安全与开发)

    @wefgod 我也是那样子的,默认还是男的

  17. 2013-05-08 21:01 | rampage ( 实习白帽子 | Rank:93 漏洞数:16 | 网站建设、安全与开发)

    @爱丽网 挺给力的厂商啊

  18. 2013-05-09 09:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @rampage 虽然说我确实是男的……但是本来以为可以给女朋友那边的