当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127255

漏洞标题:phpwindv9.0.1存储型XSS及利用技巧

相关厂商:phpwind

漏洞作者: 我是小号

提交时间:2015-07-23 00:22

修复时间:2015-10-21 10:34

公开时间:2015-10-21 10:34

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-23: 细节已通知厂商并且等待厂商处理中
2015-07-23: 厂商已经确认,细节仅向厂商公开
2015-07-26: 细节向第三方安全合作伙伴开放
2015-09-16: 细节向核心白帽子及相关领域专家公开
2015-09-26: 细节向普通白帽子公开
2015-10-06: 细节向实习白帽子公开
2015-10-21: 细节向公众公开

简要描述:

phpwindv9.0.1存储型XSS及利用技巧(需要一定权限)

详细说明:

漏洞利用需要phpwind版主以及总版主权限,可以在某些情况下被用来获取管理员最高权限。
1.版主和总版主操作(置顶、高亮、精华)帖子的时候,可以填入操作填入理由,在操作理由处填入xss code

phpwind0.png


反应到Fiddler里面就是

1000.png


2.被操作帖子所属的用户就会收到通知,展开详情就会触发xss payload

phpwind2.png


成功收到cookies

phpwind3.png


至此,一个xss的内容大概讲完了,看官肯定觉得鸡肋点有两处:
1.版主权限
2.phpwind做了http_only防护,导致无法读取cookies里面的csrf_token字段,导致cookies不完整,不能凭XSS平台收到的cookies登录

phpwind6.png

漏洞证明:

现在我们需要考虑如何绕过这两点鸡肋点:
1.版主权限,可以社工获得。或者是本身已经是版主权限的话就根本不必要执行前面的步骤
2.绕过http_only防护,毕竟“XSS已经属于一个远程代码执行了”--呆子不开口,要获取完整的cookies其实只差一步,就是要获取被http_only的csrf_token字段。
0x_Jin在
WooYun: 我是如何通过一个 XSS 探测搜狐内网扫描内网并且蠕动到前台的!(附带各种 POC)
里面提到过利用XHR结合XSS嗅探内网的技巧,可以用在这里因为phpwind把http_only字段的内容直接写在了页面源代码内的input值内。
所以参考了网上的一些资料,写了一个XSS平台可以用的利用XHR获取页面源代码的脚本,配置一下:

phpwind7.png


XSS平台就收到整个页面的源代码了

phpwind4.png


从源代码获取被保护的csrf_token

phpwind5.png


至此,http_only保护的字段也被获取到了。cookies完整,如果接收的及时的话,就可以凭借cookies去登陆对应账户了,或者进一步利用劫持用户发个帖什么的。

phpwind6.png


修复方案:

操作理由处htmlencode一下

版权声明:转载请注明来源 我是小号@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-07-23 10:32

厂商回复:

您好,经确认漏洞存在,但是利用条件偏高,漏洞等级定为中危。感谢您对阿里巴巴的支持与关注。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-23 11:28 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    自从阿里巴巴收了phpwind之后,貌似phpwind落寞了

  2. 2015-07-23 13:31 | 小将 ( 路人 | Rank:14 漏洞数:5 | --)

    哈哈

  3. 2015-07-23 16:40 | sOnsec ( 实习白帽子 | Rank:98 漏洞数:27 | 安全是什么...)

    0 -

  4. 2015-07-23 21:05 | 杯水 ( 路人 | Rank:2 漏洞数:1 )

    坐等公开