Neeke

伪全栈攻城狮

从新浪微博反射型XSS漏洞到蠕虫病毒

这是快过年时候发现的,然后就提到乌云了,可惜呀,乌云已经挂了,估计是起不来了......感觉过程挺有意思的,写在这里记下来。

发现

2015年年底的时候,我司搞了一个央视春晚广告投票活动,(⊙﹏⊙)可能那个弹幕广告大家都没印象,这个广告把钱烧的呀......年终奖都没钱了......唉,回正题。

图片1.png

本来呢,我是想检查一下我司这个活动是否存在漏洞的,所以提前准备好工具,点开活动链接之后各种操作,抓了一堆包,对我司的活动进行了各种测试,结果没发现什么可利用的东西,反正也没事,就顺便把抓到的新浪微博相关的链接看了一下,结果竟然找到了一个反射型XSS。

图片2.png

新浪微博在跳转的时候对我司传递的URL参数未作任何处理,然后就可以弹弹弹了......

图片3.png

图片4.png

这时候我在想,这个要怎么利用呢?因为此处是一个登录页面,所以我当时第一个想法就是可以发链接给别人,如果对方是在手机端查看的话,地址栏也被隐藏起来了(其实普通人很少会关注浏览器地址栏),官方的登录界面,完美欺骗了用户,可以盗取明文密码了,举个栗子?

图片12.png

但是,感觉还不够,有没有办法大范围玩呢?比如说:蠕虫?

收集

想要蠕动起来,那就得能用别人的账号发帖才行啊!然后,就对微博各种犄角旮旯浏览了一下,结果又发现俩可以拿来玩的,第一个是加关注接口:

图片7.png

上图中uid就是被关注人的新浪微博唯一编号。


然后是分享接口(忘记从哪找到的了,也没截图):

POST:http://service.weibo.com/share/aj_share.php

content=新年快了!恭喜发财!

汇总

  1. 反射型XSS一枚;

  2. 加关注的接口一枚;

  3. 发微博的接口一枚;


有了这些,现在能干什么呢?嗯~ o(* ̄▽ ̄*)o我想先给自己刷几万粉......哈哈......

蠕虫

这个蠕虫干两件事,第一件是让中招的人关注我(代码中的uid不是我的),第二件就是让中招的人再分享一个带蠕虫的微博。

图片8.png

走一个


我找了个空号测试了一下:

上面是中招前的,下面是中招后的,可以看到加了关注并且发了微博分享,这样就可以一传十,十传百,百传......完美!

分享的时候,文字如果再诱惑一些就好了,然后呢,关键是新浪微博会自动识别分享的链接是要手机登录,对于普通用户而言这是个很正常的交互。

总结

  • 漏洞:

  1. 加关注的接口是与当前登录页面在不同域下的,而我能控制的只有JS,是无法直接跨域操作的,所以动态构造form表单来提交,解决跨域问题;

  2. 因为普通form表单的提交会造成当前页面被刷新,会造成后续JS无法执行,用户也会有所察觉,所以又动态创建了隐藏iframe,将表单的target指向隐藏的iframe防止页面刷新;

  • 普通用户:

  1. 有没有遇到过不知道什么时候自己微博自动关注了陌生账号?这件事告诉我们什么?不光是微博,网页链接千万别随便点!

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

«   2016年11月   »
123456
78910111213
14151617181920
21222324252627
282930
网站分类
搜索
最新留言
文章归档
友情链接

Powered By Z-BlogPHP 1.5 Zero

Copyright Your WebSite.Some Rights Reserved.