当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168735

漏洞标题:西普学院三处越权加一处XSS

相关厂商:西普学院

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2016-01-11 11:49

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-11: 厂商已经确认,细节仅向厂商公开
2016-01-21: 细节向核心白帽子及相关领域专家公开
2016-01-31: 细节向普通白帽子公开
2016-02-10: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

看见你们的招聘信息 于是手痒就去测试了一下····

详细说明:

0x001
先说说xss吧
在问答社区里 找一个帖子 这里以老的帖子为例:http://www.shiyanbar.com/questions/detail/tag/15

0.png


然后 我们开启 burp 截获数据

1.png


将 context 数据还原

2.png


然后发送数据 刷新页面

3.png


0x002
然后我们来说说 怎么删除别人的回复(这里有两种方法 我们来一一说明)
还拿刚刚的老帖子举例

4.png


我们要删除那个1 楼的三只小猪的回复 怎么办?
第一种方法
我们右键 回复 点击审查元素

5.png


6.png


我们可以看见 上面有个删除的选项 我们将 style="display:none" 改为 style="display:red" 再将user_id改为自己的id (这里的red指的是颜色 直接删除 :none 也是可以的)
改完之后 删除按钮 也就出来了

7.png


第二种方法呢 就是审查元素的时候 记住 comments_id 然后转到自己的回复 删除的时候 抓包 修改 comments_id 也是一样的

8.png


将 ID 改为要删除的ID即可
0x002
再然后我们说说删除整个帖子吧 依旧是刚刚那个帖子 现在我们要做的是 删除整个帖子
首先我们新建一个帖子 然后开启burp 点击删除

9.png


将ID改为 我们要删除帖子的ID 也就是 15

10.png


然后发送 数据

11.png


我们再来看看那个帖子还在不?

12.png


0x004
直接替代楼主采纳 别人的帖子回复
我们随便找个有回复的帖子 :http://www.shiyanbar.com/questions/detail/tag/47

13.png


一般情况下 我们点击采纳后 会出现

14.png


我们在自己的帖子里回复 然后获取数据包(其实这个在源码里也有 这里就不演示怎么截获了)

15.png


然后找到帖子回复的id 和用户Id
直接审查元素 采纳 后就可以得到

16.png


45 是 帖子回复的id 700是用户id

17.png


19.png


20.png


漏洞证明:

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-01-11 16:08

厂商回复:

感谢对西普的关注,我们技术正在抓紧解决.

最新状态:

暂无


漏洞评价:

评价