腾讯某处存储型XSS一枚,可影响校友和空间。。

漏洞概要

缺陷编号:WooYun-2012-016515

漏洞标题:腾讯某处存储型XSS一枚,可影响校友和空间。。

相关厂商:腾讯

漏洞作者:鬼魅羊羔

提交时间:2012-12-26 10:05

公开时间:2013-02-09 10:05

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-12-26: 细节已通知厂商并且等待厂商处理中
2012-12-26: 厂商已经确认,细节仅向厂商公开
2013-01-05: 细节向核心白帽子及相关领域专家公开
2013-01-15: 细节向普通白帽子公开
2013-01-25: 细节向实习白帽子公开
2013-02-09: 细节向公众公开

简要描述:

腾讯某处存在过滤不严,导致XSS的出现,过程有点绕。。。

详细说明:

腾讯QQ昵称处存在过滤不严的问题,可以插入特殊字符,原本这是一个很正常的问题,script的语句写到闭合处的<script的时候,>括号就无法输入了。。。这个不是问题,长度不够,其实可以抓包改包实现突破,我之前的XSS都是用这样幼稚的手法实现的,问题就出来了,XSS问题出在QQ出的网页版QQ上,客户端无法抓包,那网页版应该可以吧?尝试以后的结果,还真的可以。。直接上图吧,这样说有点像讲故事。。

漏洞证明:

如下图:标签无法闭合。。网页版QQ也是如此。。

但是网页版的QQ,全完可以通过截包后修改,实现突破。。画圈处就是昵称的位置,将XSS语句插入后提交。。补充一下,测试QQ为:455457144

名字是改好了,但是如何触发就是个问题,想了2天没想出结果来,去彩贝网注册了下,既然发现在彩贝网,昵称是可以触发的。

彩贝网的没法实现攻击其他人,就不提了。。继续下面的。。腾讯一个三星活动页面,可以触发昵称。。http://galaxycamera.act.qq.com/index1.html

点开以后就可以触发XSS了既然可以触发,当然就想办法分享出去,造成影响。。。

利用上面的分享,可以直接分享出去,比如说朋友网,空间神马的。。朋友网分享后的页面,点击链接即可触发。

空间也可以分享。。而且还可以指定攻击其他用户。。

这个有人担心动静太大,但是如果别人给你添加备注的话,就完全看不到昵称的问题了。比如说:

昵称已经改了,这是备注的作用。。依旧是点击链接即可触发。。。收获:

最后说下,晚上测试时,发现我自己这无法顺利复现了,经常抽风。。,但是金山毒霸的朋友那,却可以复现。。怕夜长梦多,所以先提交了。。。剩下的交给腾讯的大大们了。。

修复方案:

过滤吧。。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2012-12-26 15:13

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

2012-12-26:刚刚我们发现这个在处理过程中已经在外部网站由报告者公开。对于该报告者不遵守乌云白帽子准则的行为,我们表示遗憾。希望乌云平台能够公正处理公开引导报告者的行为。

评价

  1. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    你妹,你这是跟TX干上了哇?

  2. 2010-01-01 00:00 心伤的瘦子 白帽子 | Rank:147 漏洞数:21)

    又是一个爱上腾讯的小伙

  3. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    羡慕嫉妒恨、、、你又找到了一个腾讯的。。。

  4. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    尼玛,你对得起我不法克鱿

  5. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @心伤的瘦子 还好意思说我,你都连载到11了。。。亲,我觉得,把你的教程看完,XSS应该会入门吧。。你还是写好文档吧,让剑总建个乌云的群,咱们共享下你的xss思路。。我这整天都是<script></script>,自己都不好意思提交了。。

  6. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @px1624 肿么说呢,腾讯的站点大啊,漏洞存在的可能性也大,,好找点。。。

  7. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @疯子 我辜负了你。。。我是负心汉。。。

  8. 2010-01-01 00:00 Clar 白帽子 | Rank:5 漏洞数:2)

    看来 @鬼魅羊羔 是想进入TX工作了

  9. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @Clar 看了漏洞详情感觉是很有意思的呵呵

  10. 2010-01-01 00:00 Clar 白帽子 | Rank:5 漏洞数:2)

    @疯子 ............ 屌丝滋润少,乌云乐趣多

  11. 2010-01-01 00:00 Clar 白帽子 | Rank:5 漏洞数:2)

    @疯子 你们太疯狂了

  12. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @Clar 其实俺想去金山。。

  13. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @鬼魅羊羔 @金山

  14. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @xsser 大人,有什么吩咐。。

  15. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @鬼魅羊羔 大人,通知金山收了你~哈哈

  16. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @se55i0n 求分点rank。。

  17. 2010-01-01 00:00 Jack 白帽子 | Rank:7 漏洞数:1)

    nb

  18. 2010-01-01 00:00 Rookie 白帽子 | Rank:241 漏洞数:48)

    @鬼魅羊羔 这不就开始连载了

  19. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @Rookie 连载什么呀,我基本属于发现一个算一个,找到一个提一个。。一切看天意。。

  20. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    哎。。手里腾讯的反射多,我都不好意思提交到wooyun。。。

  21. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @蟋蟀哥哥 哈哈 反射的多找点方法利用嘛。

  22. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    @疯子 也有两个储存的。。qq某游戏和Qmail。。但是都非常鸡肋。。也不发鸟

  23. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @蟋蟀哥哥 这孩子 你是rank多了而已 像我这种rank少的就是找到反射性也要给他搞成储存型啊

  24. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @蟋蟀哥哥 发吧,乖。。一起学习下,藏起来也没意思啊。。乖,乖,乖。。

  25. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @鬼魅羊羔 漏洞在厂商修复前不要提前公开吧,否则容易带来争议 谢谢!

  26. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @xsser 不好意思剑总,这个是我的问题,公开之前没有征求腾讯应急响应中心的同意,剑总公正处理吧,下不为例。。

  27. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    删帖也好,封号也罢,这里有我自己的一些情绪问题,腾讯说无影响,说分给的有点高,我觉得这让我很郁闷,正因为我想当一个有素质的白帽,所以来乌云,但是我也希望厂商能信任我,尤其是尊重提交者的测试过程。关于我跟腾讯的对话,有图为证,我很乐意提供。

  28. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @鬼魅羊羔 嗯 这样的情况比较少的 下次注意就行 容易被误会 多谢!

  29. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @xsser 谢谢剑总体谅,总算没白执着于乌云,保证没有下次了。只是个人觉得,有些事情真的很让人恼火。之前那个XSS,确认10分钟后就修复完毕,他们通知我第二天复测,没问题就可以公开了,我照做了,可这次人家居然说无影响,既然无影响,为什么怕公开?上次公开了没纠缠,这次居然对一个无影响的问题纠缠起来了,很难让人觉得他们没有其他情绪。。。算了,无所谓了,就这样结束吧,我也不想给剑总带来麻烦。。。希望以后的白帽子们,注意点就行了,以我为戒吧,相信自己就好。

  30. 2010-01-01 00:00 心伤的瘦子 白帽子 | Rank:147 漏洞数:21)

    @鬼魅羊羔 把柄这东西,就好比男性器官,总是想越大越好;漏洞则相反之。

  31. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @心伤的瘦子 内涵了

  32. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @心伤的瘦子 ...这样的比喻通俗易懂。。

  33. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @心伤的瘦子 我想跟TX说的话,全在签名里。。多说无益啊。

  34. 2010-01-01 00:00 心伤的瘦子 白帽子 | Rank:147 漏洞数:21)

    @鬼魅羊羔 实干兴邦。 继续准备后面的教程去了。

  35. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @心伤的瘦子 嗯,期待连载。。等你哟。。。

  36. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @心伤的瘦子 你什么时候连载完啊,尖刀需要对你做一个采访 嗯哼?

  37. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @疯子 期待你更多的牛牛采访录哈~

  38. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @疯子 这个整个几百期,直接采访+出书,霸气V5

  39. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @px1624 哈哈,还有2个XSS,打算直接扔到腾讯的应急响应中心,换个公仔啥的。。。

  40. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @鬼魅羊羔 ?你这个变化太大了

  41. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @xsser @鬼魅羊羔 你这是算背叛wooyun么?-_-||

  42. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @xsser 嗯?什么变化……?这个……怎么说呢,没什么技术含量,就是之前提交过,人家说没用,然后昨天晚上想到了,复测了下,结果发现有戏。。。

  43. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @xsser 说实话,我现在的XSS,几乎大部分还是在<script>和<img>,运气好,找腾讯的一般就是本着“听天由命”的态度找。。找到一个算一个,确定有,但是没办法解决的,截图存文档里,等以后技术提高了,再翻回来继续找。。。这得感谢乌云,都是在这偷师的,哈哈。。等胖子和瘦子的文章公开了,应该可以好好的再学习学习了。。

  44. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @鬼魅羊羔 这也是能力 - -

  45. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @se55i0n 我也在琢磨,我这算不算是背叛。。乌云啥时候能来个战衣啊。。。一直期待呢。。这2个XSS有一个已经确定有了,只是向继续扩大影响。。另外一个跟之前的两个相同,是利用邮件的,但是能不能顺利X,也得继续测试。。

  46. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @xsser 这明摆是运气。。

  47. 2010-01-01 00:00 心伤的瘦子 白帽子 | Rank:147 漏洞数:21)

    。。。

  48. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @鬼魅羊羔 我也是找一个算一个啊,其实技术高低,不在于你找到的多么隐蔽,要绕过多少多少限制,我在zone里也提到过,关键其实在于你能用发现的眼光找到薄弱的地方。你能发现别人发现不到的点,就是你的本事。我还偷偷跑你空间去看了你发的几个,思路都挺好。思路在那里, 与用不用<script>一点关系都没。

  49. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @鬼魅羊羔 @心伤的瘦子 我还是各种菜,在wooyun跟各种大大学习~

  50. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @gainover G牛说得好,我这样的菜菜会努力像各位大大靠近~

  51. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @gainover 谢谢G博士的点评,话说这几天一直在看你的XSS教程,就xsst.sinaapp.com里的那一篇,我基础知识很差,只是自己百度查,看帖去模仿,去研究,进步很慢,有很多人都跟我一样,想学东西,一直学不到好的,收费的太贵,免费的又没营养,以后多出点基础教程给我们就好了。。我从来不做黑产,也不想去碰那些东西,我就是想超越下自己,看自己究竟能学到什么程度。。顺便弱弱的问下,能加你QQ吗?

  52. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @se55i0n 乌币600多的人,还好意思说自己菜。走你·~~

  53. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @鬼魅羊羔 QQ私信发给你吧,至于教程, 见 @心伤的瘦子 。

  54. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @gainover 这个偷偷用的。。

  55. 2010-01-01 00:00 心伤的瘦子 白帽子 | Rank:147 漏洞数:21)

    @gainover 你又 @ 我。我在写教程。

  56. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @鬼魅羊羔 我给你算了笔账,建议你还是提交到乌云。你不提交乌云,两个xss换一个公仔,价值30rmb左右,只能看,摆设,收藏,显摆。提交到乌云,保守计算20rank应该是有的吧。按照现在WB的价值,大约1WB等于10-12rmb,20WB=200-240RMB,可以买多少个公仔。。。

  57. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @px1624 嗯,确实,但是剑总的乌云商城里,老是缺货啊。。想买个百度U盘啥的,都缺货啊。。 @心伤的瘦子 你躺着中枪。piu的一下,成了死胖子。。。。

  58. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @鬼魅羊羔 不要急着买u盘那种东西诶,要相信WB的价值,以后肯定还有更多好东西的。小米2F码,淘宝一个卖500,WB只需要10个,直接1:50rmb了,霸气啊!

  59. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @鬼魅羊羔 羊羔兄呀,WB是刷出来的,跟菜不菜有啥关系?话说G牛跟你分享的东西,同求呀~~~~我加你Q

  60. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @se55i0n 啥呀,G牛还没分享呢,我现在都不知道该咋打招呼,怕G你正在忙。。天朝事多。。我QQ:183126820.。

  61. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @鬼魅羊羔 发过来,鸟一个呗~

  62. 2010-01-01 00:00 沦沦 白帽子 | Rank:475 漏洞数:62)

    一般存储型XSS漏洞需要审核多少时间

  63. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @沦沦 按照影响而不是技术类型

  64. 2010-01-01 00:00 蟋蟀哥哥 白帽子 | Rank:357 漏洞数:55)

    这个漏洞,我发现过好几次了