当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046658

漏洞标题:开源中国存储型xss可获取用户信息劫持账号等

相关厂商:开源中国

漏洞作者: 风情万种

提交时间:2013-12-21 21:32

修复时间:2014-02-04 21:33

公开时间:2014-02-04 21:33

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-21: 细节已通知厂商并且等待厂商处理中
2013-12-22: 厂商已经确认,细节仅向厂商公开
2014-01-01: 细节向核心白帽子及相关领域专家公开
2014-01-11: 细节向普通白帽子公开
2014-01-21: 细节向实习白帽子公开
2014-02-04: 细节向公众公开

简要描述:

开源中国发博文时”背景音乐“过滤不严导致 存储型xss,可获取用户信息劫持账号等
利用:可操作别人账号,用来钓鱼,加入广告代码,xss传播(@红薯跟你合过影就不传播了哈)
详细说明如下:

详细说明:

首先感谢一下@心伤的胖子的教程
开源中国发布博文的时在背景音乐一项填入http://0.mp3正确的地址发现界面正常

QQ截图20131221153426.jpg


然后再修改背景音乐地址改为http://0.mp3\之后 嘿嘿

QQ截图20131221153550.jpg


看源码

QQ截图20131221153606.jpg


很明显没对\过滤 导致js错误 有错那应该可以利用 来试试
js里面可以插unicode码
修改背景音乐地址改为http://0.mp3\x22>\x3cimg\x20src=#\x20onerror=alert(1)\x3e
等价于http://0.mp3"><img src=# onerror=alert(1)>

QQ截图20131221154123.jpg


成功弹窗 看代码

QQ截图20131221154142.jpg


QQ截图20131221154218.jpg


由于这个对地址限制了字数 目测是100个字否则就是....了,要想更有利用价值那只能想办法加载外部的js咯 用document.write字符太大而且还不能立即执行
寻寻觅觅 寻寻觅觅 看到oschina用了jquery框架 所以...啧啧 有办法$.getScript
修改背景音乐地址改为

QQ截图20131221155135.jpg

这个等于

QQ截图20131221155233.jpg


字符限制所以js地址用短地址 后面加<i是为了隐藏后面多样的字符
外面js代码

QQ截图20131221155452.jpg


成功执行外部js 哈哈 现在想干啥我们有自主权啦

QQ截图20131221155548.jpg


漏洞证明:

为了让别人看起来一点迹象都没有 先把img错误图片隐藏掉 这就是音乐地址里面的img为啥加个id咯,删掉之前那段错误的js,然后让《贝多芬的病毒》响起来,嘿嘿

QQ截图20131221160233.jpg


代码现在很干净咯 页面也是正常的

QQ截图20131221160556.jpg


然后为了让@红薯重视次xss 就再写了一段js代码来钓鱼获取账号密码

QQ截图20131221172516.jpg


oschina都是程序员 上当的估计少

QQ截图20131221173605.jpg

修复方案:

@红薯 你懂得哈

版权声明:转载请注明来源 风情万种@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-12-22 10:16

厂商回复:

该feature早想拿掉了,放在 osc 上感觉不伦不类,已经干掉

最新状态:

暂无


漏洞评价:

评论