当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-030910

漏洞标题:一个短信引发的xss挖出黑产网站

相关厂商:诈骗网站

漏洞作者: 小薇2013

提交时间:2013-07-18 15:52

修复时间:2013-07-23 10:44

公开时间:2013-07-23 10:44

漏洞类型:用户资料大量泄漏

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-18: 细节已通知厂商并且等待厂商处理中
2013-07-22: 厂商已经确认,细节仅向厂商公开
2013-07-23: 厂商提前公开漏洞,细节向公众公开

简要描述:

早上接到一个短信。。然后就你懂得XSS

详细说明:

之前看过其他大神的作品 今天偶然的机会自己试试。。。 果然。。。
早上手机收到个短信。。。
然后试了下。。。
验证码那输入对应的验证码才能进去(现在被改了进不到下一页了就不截图了跳过)
在填写信息里插入xss代码 等了一会 就来了。。
然后进去了看下 上万多信息 还在一直进。。
大量前台地址 应该是团伙吧
然后我就全删了。。。。 删的时候真费劲最多默认50个信息 直接元素。改成3000 删的快多了。。
有关部门处理下把。。
犯罪嫌疑人IP:121.32.130.122(可能代理。。。)
最后求邀请码一枚

漏洞证明:

之前看过其他大神的作品 今天偶然的机会自己试试。。。 果然。。。
早上手机收到个短信。。。

6.jpg


然后试了下。。。

1.jpg


验证码那输入对应的验证码才能进去
在填写信息里插入xss代码 等了一会 就来了。。

2.jpg


7.jpg


然后进去了看下 6万多信息 还在一直进。。

3.jpg


fish.jpg


大量前台地址 应该是团伙吧

4.jpg


然后我就全删了。。。。 删的时候真费劲最多默认50个信息 直接元素。改成3000 删的快多了。。
有关部门处理下把。。
犯罪嫌疑人IP:121.32.130.122(可能代理。。。)
最后求邀请码一枚

修复方案:

有关部门解决下把。。。

版权声明:转载请注明来源 小薇2013@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2013-07-22 23:03

厂商回复:

CNVD确认所述情况(未直接复现),对于该案例,作为钓鱼网站制作和传播典型案例。经评估,拟直接公开。
rank 13,借鉴意义大于事件本身,可以窥黑产一斑

最新状态:

2013-07-23:提前公开

漏洞评价:

评论

  1. 2013-07-18 16:03 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    坐等5天后忽略

  2. 2013-07-18 16:28 | 0x2b ( 实习白帽子 | Rank:51 漏洞数:12 )

    祝福此漏洞 五天后公开

  3. 2013-07-18 16:35 | YangG ( 路人 | Rank:12 漏洞数:2 | 没)

    洞主 你拦了别人的发财路啊

  4. 2013-07-18 16:44 | 南路 ( 路人 | Rank:4 漏洞数:2 | `)

    坐等 公开

  5. 2013-07-18 16:54 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    坐等 诈骗网站来认领

  6. 2013-07-18 17:04 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    坐等5天后忽略

  7. 2013-07-18 17:07 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    坐等 公开

  8. 2013-07-18 17:08 | Deep ( 路人 | Rank:1 漏洞数:1 | 一个小白.想要变小黑.)

    坐等5天后忽略

  9. 2013-07-18 17:27 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    坐等5天后忽略。

  10. 2013-07-18 17:28 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    哎,搞黑产最怕黑吃黑。。。

  11. 2013-07-18 17:37 | 小薇2013 ( 实习白帽子 | Rank:32 漏洞数:5 | 我就看看我不说话!)

    @有妹子送上 好喜感。。。

  12. 2013-07-18 17:38 | asgoo ( 实习白帽子 | Rank:41 漏洞数:5 | 虚心学习)

    细节已通知诈骗网站并且等待诈骗网站处理中

  13. 2013-07-18 17:40 | 小薇2013 ( 实习白帽子 | Rank:32 漏洞数:5 | 我就看看我不说话!)

    @asgoo 这个真不知道给谁。。

  14. 2013-07-18 17:51 | 逍遥 ( 普通白帽子 | Rank:127 漏洞数:40 | 屌丝一个,求基友!)

    真心希望忽略

  15. 2013-07-18 17:53 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    @小薇2013 能留个联系方式不

  16. 2013-07-18 18:05 | cncert国家互联网应急中心(乌云厂商)

    good,顺藤摸瓜之,这个案例用来作为制作钓鱼网站案例挺不错。

  17. 2013-07-18 18:17 | HRay ( 普通白帽子 | Rank:196 漏洞数:28 | 018)

    @cncert国家互联网应急中心 直接忽略吧

  18. 2013-07-18 18:20 | 小薇2013 ( 实习白帽子 | Rank:32 漏洞数:5 | 我就看看我不说话!)

    进一步探索进了服务器发现大量程序FTP帐号密码。。。

  19. 2013-07-18 18:21 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    mark...

  20. 2013-07-18 18:22 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    @cncert国家互联网应急中心 直接忽略吧。。。

  21. 2013-07-18 18:25 | 逍遥 ( 普通白帽子 | Rank:127 漏洞数:40 | 屌丝一个,求基友!)

    @cncert国家互联网应急中心 忽略吧 俺们是来看热闹滴

  22. 2013-07-18 18:47 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    洞主 你断了别人的发财梦了 别人晚上得找你了 o(∩_∩)o

  23. 2013-07-18 21:14 | ╰╃清風 ( 实习白帽子 | Rank:89 漏洞数:9 | 这家伙很懒,什么都没有留下)

    最烦这种诈骗站了,顶你

  24. 2013-07-18 21:27 | along ( 实习白帽子 | Rank:45 漏洞数:7 | 关注信息安全,阿龙)

    这种网站该整治

  25. 2013-07-18 22:17 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @cncert国家互联网应急中心 管黑站吗?? @xsser 怎么破??

  26. 2013-07-18 22:21 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    相关厂商:诈骗网站- -.@cncert国家互联网应急中心 直接给忽略吧。

  27. 2013-07-19 09:34 | JOKER96 ( 路人 | Rank:10 漏洞数:2 | 95后菜鸟)

    相关厂商:诈骗网站

  28. 2013-07-19 15:02 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    万一确认了

  29. 2013-07-22 14:57 | Master ( 路人 | Rank:29 漏洞数:10 )

    2013-07-18: 细节已通知厂商并且等待厂商处理中

  30. 2013-07-22 20:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    明天应该忽略了吧?

  31. 2013-07-22 23:11 | 小智 ( 实习白帽子 | Rank:33 漏洞数:5 | 低调低调,学习学习~)

    真心确认了!!要留意观察

  32. 2013-07-22 23:16 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    公开啊!!!

  33. 2013-07-23 07:52 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    说好公开的。。。。

  34. 2013-07-23 09:38 | 电饭煲 ( 路人 | Rank:0 漏洞数:1 | 电饭煲)

    说说而已,大家别当真

  35. 2013-07-23 09:57 | skysheep ( 路人 | Rank:0 漏洞数:1 | 关注网络安全。)

    都是来找财路的白帽子。

  36. 2013-07-23 10:52 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    rank13!逆天了

  37. 2013-07-23 11:50 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    13不科学!

  38. 2013-07-23 12:03 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    我勒个去。。。我搞这样的钓鱼 不下10个把 银行卡,身份证,QQ密保。。。原来还可以换rank。。不是把。。

  39. 2013-07-23 12:08 | 小薇2013 ( 实习白帽子 | Rank:32 漏洞数:5 | 我就看看我不说话!)

    @齐迹 求地址。。。

  40. 2013-07-23 12:14 | cncert国家互联网应急中心(乌云厂商)

    @齐迹 头一个发的是rank 13,后面跟风的就不是的。借鉴和学习的意义大于rank 本身。

  41. 2013-07-23 12:48 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @小薇2013 360 QQ管家公布的危险网站。没有waf 全部可以搞。。累死人不偿命的!

  42. 2013-07-23 14:06 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    为天朝做自己力所能及的事儿 自评5rank 洞主好样的 rank再多一点 也不算多 洞主精神可嘉思密达~

  43. 2013-07-23 17:09 | IXY ( 路人 | Rank:19 漏洞数:3 | 小菜来学习的)

    DZ手机会不会被黑产者们骚扰

  44. 2013-07-23 17:26 | Deep ( 路人 | Rank:1 漏洞数:1 | 一个小白.想要变小黑.)

    rank13 我也想借鉴。

  45. 2013-08-09 17:16 | juuxdd ( 路人 | Rank:4 漏洞数:1 | ส)

    mak

  46. 2013-08-31 19:54 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    黑产也要招安全工程师哦..

  47. 2014-06-14 03:10 | Murk Emissary ( 实习白帽子 | Rank:74 漏洞数:14 | 低调做人 低调行事)

    黑吃黑了哈哈哈等诈骗团伙看到晚上走夜路小心剩下的自己脑补

  48. 2014-11-18 12:22 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    擦。钓鱼站也算???尊敬的手机用户您好:恭喜您的手机号码已被湖南卫视【爸爸去哪儿】栏目组抽取为场外幸运用户,您将获得本栏目与赞助商送出的创业基金¥98000元人民币与苹果笔记本电脑一台,详情请用电脑登陆【爸爸去哪儿】活动官方网:kzvz.cc领取。您的领奖验证码:【8816】注:本次活动已通过互联网公证处审批,请幸运用户放心领取!活动最终解释权归湖南电视台《爸爸去哪儿》栏目所有!