通过一个存储XSS探测178内网

漏洞概要

缺陷编号:WooYun-2015-098031

漏洞标题:通过一个存储XSS探测178内网

相关厂商:178游戏网

漏洞作者:bey0nd

提交时间:2015-02-22 23:17

公开时间:2015-04-13 16:58

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-22: 细节已通知厂商并且等待厂商处理中
2015-02-25: 厂商已经确认,细节仅向厂商公开
2015-03-07: 细节向核心白帽子及相关领域专家公开
2015-03-17: 细节向普通白帽子公开
2015-03-27: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

通过一个存储XSS探测178内网附payload

详细说明:

站点:http://apt.178.com/在添加app应用或者铃声资源的时候,没有对输入进行过滤。如下

上传之后需要等管理员审核后才会在前台显示出。那就可以盲打管理了。成功收到cookie等信息,好激动

但是后台却做了限制

好吧。就这样结束总感觉不太好。然后就想用xss做一些其他的事。。首先来获取内网ip吧借鉴了0x_jin牛的payload,然后本地随手改了一下,放在某渣渣xss平台。xss平台可以用的payload为福利:

然后成功获取到内网的ip信息

当前ip:192.168.1.111然后就想探测一下该内网段中存活的主机。在本地测试了一下,如果直接获取1~255的话浏览器略卡。怕被发现就探测110~130之间了。payload:

我把获取到的内网ip和端口发送到我的新浪云sae上了。

到这里以后感觉这个内网中好像并没有开发的信息,好像只是负责后台的审核既然内网这条路不好走,为了响应大乌云的号召。http://zone.wooyun.org/content/18421所以考虑换个方式。想通过xss获取审核页面的源代码信息,然后提取出审核通过的请求链接。然后在通过一次xss来csrf劫持管理员,在管理打开审核页面的时候,自动发起请求让我提交的应用自动通过,从而达到蠕动到前台来扩大影响。走起首先获取http://apt.178.com/console/deb的源代码payload

获取到的信息同样的自动请求我的服务端http://*****.sinaapp.com/insert.php来存储在js中发起两次请求,首先存储http 状态码,其次内容

200.请求成功但是奇怪的是虽然状态码来了,但是内容却没来。这就让我费解了。服务端数据库中也没有耽误好久,然后在服务器日志中查到该源码信息

但是并不完整前前后后花了好几天,包括写payload和等待后台管理员审核。再加上sae这环境。累尿了就不在向下xss了好了,故事讲完了。

漏洞证明:

如上

修复方案:

过滤

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-02-2509:56

厂商回复:

谢谢!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    沙发

  2. 2010-01-01 00:00 p4ssw0rd 白帽子 | Rank:130 漏洞数:18)

    你这是最近网好了...

  3. 2010-01-01 00:00 s3xy 白帽子 | Rank:698 漏洞数:62)

    你这是最近网好了...

  4. 2010-01-01 00:00 M4ster 白帽子 | Rank:35 漏洞数:3)

    为何不直接上BeEF?而且GET请求只能传递2kb数据,下次获取源码用POST吧。

  5. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @M4ster 啥BeEF?不过这个获取源码肯定还是post好,get有长度限制的

  6. 2010-01-01 00:00 M4ster 白帽子 | Rank:35 漏洞数:3)

    @px1624 https://github.com/beefproject/beef