当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045322

漏洞标题:百度贴吧某功能CSRF+XSS漏洞可对用户留置后门

相关厂商:百度

漏洞作者: q601333824

提交时间:2013-12-09 17:09

修复时间:2014-01-23 17:10

公开时间:2014-01-23 17:10

漏洞类型:CSRF

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-09: 细节已通知厂商并且等待厂商处理中
2013-12-10: 厂商已经确认,细节仅向厂商公开
2013-12-20: 细节向核心白帽子及相关领域专家公开
2013-12-30: 细节向普通白帽子公开
2014-01-09: 细节向实习白帽子公开
2014-01-23: 细节向公众公开

简要描述:

百度贴吧某功能缺陷,配合已经存在的XSS,可对用户留置后门

详细说明:

1.问题出在上次的收藏图片功能(我有点啰嗦,因为怕出错)

2.和上次一样,截获收藏图片请求,如图

1.png


3. get请求,如图

2.png


4.这个连接,我用别的号测试,然后在想,为什么会收藏失败啊,最后测试出来猜测失败的原因是UID参数,如图,图上是我UID,然后就是如何寻找别人的UID

3.png



5.这个漏洞就拿我的小号测试,点击头像进入新版主页,如图

4.png



5.png


6.然后打开网页源码,搜索user_id,如图

6.png


7.然后那个连接上我的UID,替换我小号的UID,如图

7.png


8.配合已经存在的百度相册XSS(上次没修复),可以构造一个CSRF连接让我小号访问,然后小号就会自动收藏带代码的图片,只要当小号访问自己收藏的时候就会触发,构造方法如图

10.png



9.但是问题来了,就是这个连接插入图片那会出现未知错误,原因就是连接太长了
如图

8.png



10.接下来修改下连接,留下必须的参数,去掉多余的参数,还有些参数不能为空但可以缩短
(1):&descript参数没啥用,但是不能空,打个1就行
(2):&tags参数没啥用,但是不能空,打个1就行
(3):&url参数是图片地址,收藏的图片地址太长,修改成百度首页logo图片,那个地址短
(4):最后那个参数&_=感觉删掉了没影响

11.下面,这张图是修改之后的连接,如图

11.png



12.修改之后的连接,可以插入图片了,发帖成功,这样楼主打开帖子就能访问那个连接,如图

15.png


16.png


13.登录自己的小号ID,卖萌的中二,看看csrf和XSS的效果,已经登录小号,如图

33.png


14.查看收藏,已经收藏了百度首页的logo图片,如图

34.png


15.然后当中了CSRF的用户访问自己的相册收藏的时候,会触发XSS,如图。可以看见卖萌的中二的最新照片出现了百度首页logo图片了..................

79.png


16.可以发现出现了弹框,而且是在卖萌的中二这个ID的收藏里面,这样应该算是CSRF配合XSS了.............

80.png








漏洞证明:

1.

1.png


2.

2.png


3.

3.png


4.

4.png



5.png


5.

6.png


6.

7.png



7.

10.png


8.

8.png


9.

11.png


10.

15.png


16.png


11.

33.png


12.

34.png


13.

79.png


14.

80.png


修复方案:

UID那么明显,竟然没人看见..........啊

版权声明:转载请注明来源 q601333824@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-12-10 12:49

厂商回复:

感谢提交,安全组已经联系产品线处理此问题,新版上线还需要时间。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-12-09 18:38 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    mark

  2. 2013-12-09 19:13 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    =_=

  3. 2014-01-23 17:55 | Ricter ( 实习白帽子 | Rank:59 漏洞数:15 | 渣渣一个)

    低...百度是不是舍不得给rank QAQ

  4. 2014-01-23 21:45 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    测试一下,无语

  5. 2014-01-24 02:15 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    @Ricter cook拿不到,危害肯定不大.......=_=