漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0148110
漏洞标题:网易用户登陆状态下点我的链接我就可进入其邮箱、云笔记等服务(不支持某些版本IE)
相关厂商:网易
漏洞作者: 呆子不开口
提交时间:2015-10-20 17:38
修复时间:2015-12-05 17:34
公开时间:2015-12-05 17:34
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-20: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经确认,细节仅向厂商公开
2015-10-31: 细节向核心白帽子及相关领域专家公开
2015-11-10: 细节向普通白帽子公开
2015-11-20: 细节向实习白帽子公开
2015-12-05: 细节向公众公开
简要描述:
这里天网传网易密码泄漏,我赶紧去改了下我的密码。改完后继续留在网易冲浪,发现一个很妙的地方,可以看女人跳舞。我年纪也不小了,于是开心的看了起来
看着女主播的舞蹈,我上下半身忍不住齐思考,发现......网易的用户在登陆状态下点我的链接,我就可进入其网易邮箱、云笔记、花田等网易服务。chrome、火狐、edge都能中招。IE某些版本默认显示友好HTTP错误,所以不支持某些IE版本
详细说明:
这里天网传网易密码泄漏,我赶紧去改了下我的密码。改完后继续留在网易冲浪,发现一个很妙的地方,叫bobo
bobo.com是网易旗下的一个网站,一个看女人的网站,一个看女人跳舞的网站。我年纪也不小了,于是开心的看了起来
看着视频里的女主播的舞蹈,我上下半身都忍不住思考,发现bobo的自动登陆有点问题
网易用户登陆状态下,再访问www.bobo.com,会自动登陆bobo。自动登陆流程如下
先跳到163去请求登陆,如下
163那边再返回认证凭证NTES_SESS,上面的请求会302跳转到如下请求
最后302跳回到首页,设置完登陆cookie,认证成功
跳回
所以,只要偷到NTES_SESS即可,对我来说,需要一个www.bobo.com的XSS即可
我戴上眼镜,发现了一个,是js里的xss,完美的不搭理xss filter。如下
下面用xss来偷登陆流程中的NTES_SESS
有xss后,就可以在www.bobo.com域执行js了。先用js设置个超长cookie(一会会有用)
然后嵌入一个iframe去请求http://bobo.163.com/checkAuth?url=http://www.bobo.com/&,会302跳转到
http://www.bobo.com/auth?NTES_SESS=eVDnHhKqQ5phQfq.SUhKXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX0Fz3t.Al2XXgmlY5D8B6zOijFOLH5QM2JXXXXXXXXXXXXLpu7_yJRQLaO0UEF8WpHDS1qJ4_Wmt8qKDG0QHAMnsgcZsae_Af0Ow.65B4BcoDsu9xS1v45ORinZLH&url=http://www.bobo.com/&
这个时候由于我们设置了超长cookie,所以此请求会失败无法继续跳转
这时,我们通过iframe.contentWindow.location.href来读取iframe当前加载的url,就可以获取到url里的NTES_SESS值了
代码如下:
此方法不支持某些版本的IE,因为IE在超长cookie访问后发现是400错误后,显示的是自己本地的HTML,所以xss无权限读取到当前iframe的url
获取到NTES_SESS后,可以替换自己登陆账号里的ntes_sess,可以进入网易的服务。youdao域下的也一样。
修改完cookie后,可以通过如下请求
http://entry.mail.163.com/coremail/fcg/ntesdoor2?lightweight=1&verifycookie=1&language=-1&style=-1&from=newmsg_www&df=ydweb
进入用户邮箱
漏洞证明:
收到的用户ntes_sess
示例1
示例2
修复方案:
修复xss
自动登陆架构需要改进,具体方案这里就不细说
版权声明:转载请注明来源 呆子不开口@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-10-21 17:33
厂商回复:
漏洞已修复,谢谢您对网易产品的关注。
最新状态:
暂无