当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126058

漏洞标题:新浪核心站点高危XSS+涉及缺陷隐患可造成大规模蠕虫攻击+劫持微博账号

相关厂商:新浪

漏洞作者: 黑暗游侠

提交时间:2015-07-12 10:05

修复时间:2015-08-28 17:32

公开时间:2015-08-28 17:32

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-12: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-24: 细节向核心白帽子及相关领域专家公开
2015-08-03: 细节向普通白帽子公开
2015-08-13: 细节向实习白帽子公开
2015-08-28: 细节向公众公开

简要描述:

新浪核心站点高危XSS+涉及缺陷隐患可造成大规模蠕虫攻击+劫持微博账号

详细说明:

从发现到利用大概研究了快50分钟了,写完睡觉去,快1点了
新浪show

http://show.sina.com.cn/


核心站点,业务范围不多介绍了
漏洞简单描述一下:
个人空间处

http://space.show.sina.com.cn/


发表日志处添加音乐,插入xss即可

46.png


方便测试,给出简洁的demo地址,直接访问即可触发demo alert(wooyun):

http://space.show.sina.com.cn/bloglist.php?space_uid=218835112


47.png


======================================
漏洞讲完了,重点讲利用过程
新浪所有核心重要站点cookie都做了httponly,cookie其实并么有什么卵用
看一下cookie就一目了然了

48.png


show有两种登录方式,

50.png


经过反复测试:
若用户A登陆的是show账号,没有登录微博,那么只能造成第一种蠕虫:

第一处:新浪show空间发表恶意代码日志进行蠕虫传播


抓包构造内容发送即可。
若用户A登陆show用的是微博登陆方式,而不是shwo账号,只能造成第二种蠕虫(因为show空间日志系统不对非show账号的用户开放,无法开通):

第二处:新浪微博,对weibo本身不存在,但是可以使用户在微博发show链接地址,不断地诱导访问蠕虫传播


参考:

http://wooyun.org/bugs/wooyun-2010-098586


A Simple Result:

49.png


若用户A登陆show用的是show账号,另外别的标签页登陆了微博,那么两种蠕虫传播方式均可
#劫持用户微博账号
新浪sso认证体系中存在这样一个隐患
微博用户访问以下URL可以获得ticket:

http://login.sina.com.cn/sso/crossdomain.php?action=login


51.png


关键的是:

这个ticket是一次性会话,而且没有时间限制,就是说,在别的地方能使用ticket登录帐号


所以get了ticket
访问以下URL:

http://passport.weibo.com/wbsso/login?ticket=**********


即可在另一地方登陆该用户微博账户。
本地测试用的是微博账号登陆show,访问构造好的脚本xss,服务端下的结果:

54.png


打开Firefox来访问:

52.png


访问weibo.com
最终结果,成功劫持:

53.png


(End)睡觉去

漏洞证明:

修复方案:

版权声明:转载请注明来源 黑暗游侠@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-07-14 17:32

厂商回复:

感谢支持,漏洞修复中

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-12 10:35 | myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)

    我擦,路人甲又发功了,这个不是闪电么。。。

  2. 2015-07-12 10:46 | 笔墨 ( 实习白帽子 | Rank:75 漏洞数:20 | 瘦子)

    666

  3. 2015-07-12 15:15 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @myhalo @疯狗 狗哥,围观的绿帽子都觉的应该可以有闪电

  4. 2015-07-12 15:23 | myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)

    @黑暗游侠 我擦,你妹啊,我是白妹子,你才绿帽子,擦擦擦擦

  5. 2015-07-12 15:32 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @myhalo 原来是绿妹子哈,我还以为绿帽子呢

  6. 2015-07-12 16:01 | myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)

    @黑暗游侠 这个闪电没了

  7. 2015-07-12 20:10 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    是啊没事

  8. 2015-07-13 10:37 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    show......第三方合作站的xss,核心个毛线啊,上了首页就不错了,不过思路还是不错