人人网之人人小站csrf #2 | wooyun-2014-055513| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-055513

漏洞标题：人人网之人人小站csrf #2

漏洞作者：小龙

提交时间：2014-04-04 16:20

修复时间：2014-05-19 16:20

公开时间：2014-05-19 16:20

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-04-04：细节已通知厂商并且等待厂商处理中
2014-04-08：厂商已经确认，细节仅向厂商公开
2014-04-18：细节向核心白帽子及相关领域专家公开
2014-04-28：细节向普通白帽子公开
2014-05-08：细节向实习白帽子公开
2014-05-19：细节向公众公开

简要描述：

嘻嘻

详细说明：

在删除文章，创建文章处都存在csrf
可恶意构造poc对他人造成无意间的伤害
创建后得到以下参数：

http://zhan.renren.com/123123111/word/create

from=homeNew&syncRenren=true&syncDouban=false&syncSina=false&syncQqweibo=false&syncWangyi=false&toSiteUrl=123123111&feedSrc=&gid=&rejectionId=&ccstatus=seven&draftId=&issueId=&subject=wooyun&body=%3Cp%3Ewooyun%3C%2Fp%3E&_rtk=a199aaf8

取主要部分
mark一下！

{"code":0,"draftId":"","isAppend":true,"html":"\u003carticle class\u003d\"feed-log clearfix\" data-type\u003d\"BLOG\" data-feedid\u003d\"3602888498048768057\" feedid\u003d\"3602888498048768057\" authorId\u003d\"519457354\" authorName\u003d\"去小龙\" replyCount\u003d\"0\" uri\u003d\"123123111\"\u003e\n\u003caside\u003e\n\u003cfigure class\u003d\"newsfeed-user\"\u003e\n\u003ca class\u003d\"site name-card\" data-uri\u003d\"http://zhan.renren.com/123123111\" href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn421/20131003/1410/h_main_QBuS_4d3a000005eb113e.jpg\" /\u003e\u003c/a\u003e\n\u003ca class\u003d\"mini-avatar\" title\u003d\"去小龙\" href\u003d\"http://zhan.renren.com/profile/519457354?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn221/20131128/1740/tiny_ZSEQ_133b000308a0113e.jpg\" /\u003e\u003c/a\u003e\n\u003c/figure\u003e\n\u003c/aside\u003e\n\u003cdiv class\u003d\"post-holder\"\u003e \n\u003cdiv class\u003d\"post-site-user\"\u003e\n\u003ch3\u003e\n\u003ca href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\" data-uri\u003d\"http://zhan.renren.com/123123111\" class\u003d\"name-card\" \u003eaa\u003c/a\u003e\n\u003c/h3\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-content clearfix\"\u003e\n\u003ch2 class\u003d\"feed-title\"\u003e\u003ca href\u003d\"http://zhan.renren.com/123123111?gid\u003d3602888498048768057\u0026from\u003dpost\" title\u003d\"查看原文 - 1秒前\" target\u003d\"_blank\"\u003ewooyun\u003c/a\u003e\u003c/h2\u003e\n\u003cdiv class\u003d\"one-log clearfix\"\u003e\n\u003cp\u003ewooyun...\u0026nbsp;\u003ca href\u003d\"javascript:;\" class\u003d\"feed-open hot-view\"\u003e阅读全文\u003c/a\u003e\u003c/p\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"log-open clearfix\"\u003e\n\u003cp\u003e\u003cp\u003ewooyun\u003c/p\u003e\u003c/p\u003e\n\u003ca class\u003d\"feed-close\" href\u003d\"#\"\u003e收起全文\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-topic\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-act\"\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-idel\" title\u003d\"删除\"\u003e删除\u003c/a\u003e\n\u003ca href\u003d\"#\" onclick\u003d\"publisher.edit(\u0027BLOG\u0027, \u00273602888498048768057\u0027, this);return false;\"\u003e编辑\u003c/a\u003e\n\u003ca href\u003d\"javascript:;\" class\u003d\"hot-num\"\u003e1\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-ishare hot-view\" num\u003d\"0\"\u003e分享\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-icmt hot-view\"\u003e评论\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"hot-view feed-ilike\" num\u003d\"0\"\u003e\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-reply clearfix\" style\u003d\"display:none;\"\u003e\u003c/div\u003e\n\u003c/div\u003e\n\u003c/article\u003e\n","tags":[{"tagId":161811,"tabValue":"爱爱爱","followCount":0},{"tagId":9021,"tabValue":"科学","followCount":432965},{"tagId":16401,"tabValue":"音乐","followCount":1859087}]}

返回正确信息

至于rtk=a199aaf8 这个

在源码处可以看到var XZ ={get_check:'a199aaf8',

get_check:'a199aaf8

有了这个，我们可以干嘛？例如：构造恶意poc，嘿嘿，其实还可以利用构造一个删除的poc
我们看下删除的参数
http://zhan.renren.com/123123111/3602888498048768057/delete

_rtk=a199aaf8

两个参数，最后一个是id，但是他不是id- - 人人网也挺聪明的，其他好多地方都token了，但是分站居然暴漏成这样，分站也很重要啊，人人亲！
我们mark删除请求

{"code":0,"msg":"ok"}

返回正确请求 OK。哈哈
非常漂亮的一击

给人人网一个案例：
一个李女士的在淘宝买东西，买了1万块钱的化妆品
3天还没送来，于是李女士发现了自己的收货地址居然被修改了， 据她回忆， 好像是点了一个链接，然后神不知鬼不觉的就被改了

一个小小的csrf损失了1万块钱，甚至可以更多，所以说csrf是强大的，并不是改改你的资料，改改你的啥，还可以强制支付，还可以帮助恶意份子宣传白粉之类的，说多了都是泪，如果人人网被广告吞噬了，后果是怎么样的。。。

漏洞证明：

在删除文章，创建文章处都存在csrf
可恶意构造poc对他人造成无意间的伤害
创建后得到以下参数：

http://zhan.renren.com/123123111/word/create

from=homeNew&syncRenren=true&syncDouban=false&syncSina=false&syncQqweibo=false&syncWangyi=false&toSiteUrl=123123111&feedSrc=&gid=&rejectionId=&ccstatus=seven&draftId=&issueId=&subject=wooyun&body=%3Cp%3Ewooyun%3C%2Fp%3E&_rtk=a199aaf8

取主要部分
mark一下！

{"code":0,"draftId":"","isAppend":true,"html":"\u003carticle class\u003d\"feed-log clearfix\" data-type\u003d\"BLOG\" data-feedid\u003d\"3602888498048768057\" feedid\u003d\"3602888498048768057\" authorId\u003d\"519457354\" authorName\u003d\"去小龙\" replyCount\u003d\"0\" uri\u003d\"123123111\"\u003e\n\u003caside\u003e\n\u003cfigure class\u003d\"newsfeed-user\"\u003e\n\u003ca class\u003d\"site name-card\" data-uri\u003d\"http://zhan.renren.com/123123111\" href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn421/20131003/1410/h_main_QBuS_4d3a000005eb113e.jpg\" /\u003e\u003c/a\u003e\n\u003ca class\u003d\"mini-avatar\" title\u003d\"去小龙\" href\u003d\"http://zhan.renren.com/profile/519457354?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn221/20131128/1740/tiny_ZSEQ_133b000308a0113e.jpg\" /\u003e\u003c/a\u003e\n\u003c/figure\u003e\n\u003c/aside\u003e\n\u003cdiv class\u003d\"post-holder\"\u003e \n\u003cdiv class\u003d\"post-site-user\"\u003e\n\u003ch3\u003e\n\u003ca href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\" data-uri\u003d\"http://zhan.renren.com/123123111\" class\u003d\"name-card\" \u003eaa\u003c/a\u003e\n\u003c/h3\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-content clearfix\"\u003e\n\u003ch2 class\u003d\"feed-title\"\u003e\u003ca href\u003d\"http://zhan.renren.com/123123111?gid\u003d3602888498048768057\u0026from\u003dpost\" title\u003d\"查看原文 - 1秒前\" target\u003d\"_blank\"\u003ewooyun\u003c/a\u003e\u003c/h2\u003e\n\u003cdiv class\u003d\"one-log clearfix\"\u003e\n\u003cp\u003ewooyun...\u0026nbsp;\u003ca href\u003d\"javascript:;\" class\u003d\"feed-open hot-view\"\u003e阅读全文\u003c/a\u003e\u003c/p\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"log-open clearfix\"\u003e\n\u003cp\u003e\u003cp\u003ewooyun\u003c/p\u003e\u003c/p\u003e\n\u003ca class\u003d\"feed-close\" href\u003d\"#\"\u003e收起全文\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-topic\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-act\"\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-idel\" title\u003d\"删除\"\u003e删除\u003c/a\u003e\n\u003ca href\u003d\"#\" onclick\u003d\"publisher.edit(\u0027BLOG\u0027, \u00273602888498048768057\u0027, this);return false;\"\u003e编辑\u003c/a\u003e\n\u003ca href\u003d\"javascript:;\" class\u003d\"hot-num\"\u003e1\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-ishare hot-view\" num\u003d\"0\"\u003e分享\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-icmt hot-view\"\u003e评论\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"hot-view feed-ilike\" num\u003d\"0\"\u003e\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-reply clearfix\" style\u003d\"display:none;\"\u003e\u003c/div\u003e\n\u003c/div\u003e\n\u003c/article\u003e\n","tags":[{"tagId":161811,"tabValue":"爱爱爱","followCount":0},{"tagId":9021,"tabValue":"科学","followCount":432965},{"tagId":16401,"tabValue":"音乐","followCount":1859087}]}

返回正确信息

至于rtk=a199aaf8 这个

在源码处可以看到var XZ ={get_check:'a199aaf8',

get_check:'a199aaf8

_rtk=a199aaf8

{"code":0,"msg":"ok"}

返回正确请求 OK。哈哈
非常漂亮的一击

给人人网一个案例：
一个李女士的在淘宝买东西，买了1万块钱的化妆品
3天还没送来，于是李女士发现了自己的收货地址居然被修改了， 据她回忆， 好像是点了一个链接，然后神不知鬼不觉的就被改了

修复方案：

token

版权声明：转载请注明来源小龙@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2014-04-08 11:08

厂商回复：

感谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-055513

漏洞标题：人人网之人人小站csrf #2

相关厂商：人人网

漏洞作者：小龙

提交时间：2014-04-04 16:20

修复时间：2014-05-19 16:20

公开时间：2014-05-19 16:20

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小龙@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-055513

漏洞标题：人人网之人人小站csrf #2

相关厂商：人人网

漏洞作者： 小龙

提交时间：2014-04-04 16:20

修复时间：2014-05-19 16:20

公开时间：2014-05-19 16:20

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-055513"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小龙@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小龙

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小龙@乌云