中国网络渗透测试联盟

标题: 关于腾讯客服开放平台的2个漏洞+附属漏洞1个 [打印本页]

作者: admin    时间: 2013-1-11 21:04
标题: 关于腾讯客服开放平台的2个漏洞+附属漏洞1个
漏洞名称:腾讯客服开放平台 后台绕过

一、详细说明:
" G% g% B4 b( v  R/ l5 G* v登录部分通过noPermiss(js)

http://347.kf.ieodopen.qq.com/admin/js/index.js?v=20121007

因为*.kf.ieodopen.qq.com域名开通的数字代表应用编号 所以我认为这属于框架性漏洞例如1.kf.ieodopen.qq.com也存在此漏洞

JavaScript
+ u- m2 ]0 h" e! S9 r
. i- K5 J3 R  y1 b4 H) B' z2 i3 X1 }* m  {
1

1 D  I8 f/ U0 D9 c# `4 U
2

' l9 \2 x/ G8 \+ p5 V) E& f
3

+ S  ?; `. a' E5 x" P  @# M8 v: k/ q
4
# b/ ~- V( q. {5 }$ T& I
5
3 C1 P, P1 ?7 P8 r
6

6 |4 }, r$ C9 p
7
# a( L; q0 j' Q) x% _* \
8

+ \6 h) A. h5 e( Y+ G/ F! T, D6 v- q
9

. ]- k: x& G" [6 s
10

1 O7 \7 ^/ T* a/ T
11
: d- P) O6 d3 }+ O1 n3 P- A  |* g
12

  V6 s+ p0 k: i
13
: V7 F' F( G3 X
14

' q+ U3 r; _! p( A. Q$ `5 L. }1 k% a
15

( l& q7 v* z9 Y9 z$ t
16
+ }; K, K  D3 H9 b" y3 |3 [. [
17
( T* A3 y" U! m9 P4 y# B
18
9 a2 ?/ o5 @: l$ _! S0 n' M
19
, A; N  R' }& ~) a$ p  s
20
( |* w4 D  ^3 U" }7 T
21

1 i  @8 F3 \9 g( y$ T# ~5 [
22

3 V* ^" w2 A  K0 L
23
( `* i- O: x0 v# h. R& ?
24

3 B$ n$ D  L" X) ^3 N
25
1 k( o& p  e0 m+ d$ e
26
5 L, d# W: T( m
1 s3 E9 x% `; K# j- S
kfadmin.checkLogin = function() {
( ^' m* ^8 z" Q4 B6 X7 `* t    if (top.kfadmin.isLogin == true) return;
) o+ ?- U- @3 z  ^5 U    top.kfadmin.isLogin = "on";
( Y3 x5 P2 u) z  A8 a  T    var loginCallback = new Callback("login");
& d" N7 t4 P  l    loginCallback.deal = function() {2 ?$ @  U# P4 D  D3 ]& y
        $("#pdtName", top.kfadmin.headerFrameDoc).html(this.result.obj.sOfferName);+ |. b* l$ I' I/ E- {& l
        $("#pdtName", top.kfadmin.headerFrameDoc)[0].title = this.result.obj.sOfferName;! k) M/ A% c! L7 H
        if (~~this.result.obj.isLogin == 1) {
6 H( V3 C: z3 Q  S2 M            top.document.getElementById("total_frame").rows = "80,*";/ U; F# E! L5 y$ H* X: Y# W5 y) u
            top.kfadmin.isLogin = true;: s) P! I0 Y1 H/ o+ n
            top.kfadmin.sUin = this.result.obj.sUin;' g) Y  {, d- T
            $("#spnLogout", kfadmin.headerFrameDoc).html("您好!" + this.result.obj.sNickName + "(" + this.result.obj.sUin + ")");0 A  T2 }5 I+ l  ?
            $("#pLogin", top.kfadmin.headerFrameDoc).hide();
6 F: ~, c$ r9 p) x( V$ s7 k/ ]5 O            $("#pLogout", kfadmin.headerFrameDoc).show();" {3 [) c9 N% }+ }- ~0 t* N" n
         <strong>   if (~~this.result.obj.noPermiss == 1) {</strong>* i! g1 J* n! M+ y( ?3 L) S
                alert("对不起,您没有操作后台的权限!");
, u' y  A1 ^; t. j                top.window.location.href = "/";/ ]7 ?  {% E! B. `5 I. ]" N1 F
                top.kfadmin.noPermiss = true;* i$ G0 d6 b. t; U+ M/ s: y
                return false;
! x+ ?2 o1 v7 C5 _% Y            }
6 H( m; F6 ~  `; S+ x        } else {) v4 j6 f4 [1 `4 E
            top.kfadmin.isLogin = false;
$ H7 \  [7 d5 X            $("#pLogout", kfadmin.headerFrameDoc).hide();2 ^2 G6 J: n! u; s( [
            $("#pLogin", top.kfadmin.headerFrameDoc).show();
" x& c/ H7 `" [$ v% M$ t6 R* ^# F        }7 a! {4 J" w' k2 k
    }5 a( V5 i, t5 k! g& `2 a

使用Burp修改noPermiss =0 可以绕过js判断登录

二、漏洞证明:

http://www.myhack58.com/Article/UploadPic/2013-1/20131912285848.png

三、修复方案:, s7 N0 a& {9 Y4 r1 {+ L
使用服务器对登录进行判断

ps:虽然上面的漏洞可以绕进后台但后面做操作的时候服务器还是会进行判断 所以腾讯安全应急响应中心给予忽略操作 请以后不要提交这样的漏洞省的麻烦人家验证(当然这只是对我说的)

漏洞名称:腾讯客服开放平台 xss

一、详细说明:
) N9 G! m5 m; z  `) E) p7 V" W由于结合上个漏洞可绕过登录进行操作, K" ~% }; N" E/ {, {' I! R
由于绕过的权限还会在服务器再次判断所有没有发布权限; `5 R& F4 X0 L% O8 _
但确实存在储存性XSS 如果拿到正确的帐号密码可发布存在储存性XSS的公告
& u& S5 a  U2 S3 w请评分者适当加高分值谢谢

二、漏洞证明:

http://www.myhack58.com/Article/UploadPic/2013-1/20131912287219.png

三、修复方案:
. r% ?6 u: I9 r3 U6 ?过滤输入输出

ps:此漏洞因没有权限发布出去所以腾讯应急响应中心给予忽略 表示只能自己弹自己?请大家以后不要提交这样的漏洞省的麻烦人家验证(当然这只是对我说的)

附属漏洞一枚:

对于第一个漏洞我第二天测试的时候好像进行了修复操作参数noPermiss从返回的json里消失了

但是他的js还有一个判断就是isLogin参数

JavaScript
) _# {7 l$ M7 _. |4 c5 q+ }8 I4 L+ X# i1 \

$ p" a3 Q- c# o% M- c/ T" g: a
1
# G1 p2 R) |) |) B
2
# I. ^! Z6 Y  j& n" l
3

, @6 B3 ~, E) W- j
4
- Z, s; A4 ^/ i
5
$ B% f% _7 H0 p3 y% M. }
6

' F% t1 P* T- y; |& Y' Z- C
7

* D( [* `; d* u4 Z3 b% b
8
2 d! f: D0 B! E/ i
9
# y' l  m$ k; g  J; v
10

) Z7 s2 g5 n. `( B/ |& P) k( R
11

/ _8 W3 H# b6 F, `% b0 K* j; d
12

" ]& g3 H) j4 n& a* E$ X! ~
13

1 S+ N, T# e0 X* a/ E
14
3 \0 }6 i* g0 O( L* ?4 k
15
8 i- L& Z, P3 {( k8 J' H9 `( G
16
+ N0 }2 N8 W8 Z& m, x- z
17

/ c% Q4 T9 K) n6 l2 i" f
18
  c( J8 j, h- @1 C
19
: X* a- L: w# S8 P
20
' Q4 h& f* K% [2 v2 e. O. h
21
& W6 P6 X" D4 j+ V
22

2 X2 m& n& q9 t0 u6 W
23
/ v- ~2 ~% }' U, C8 B
24
; ^% h/ I  s2 d' a, s) w
25
4 K$ g' O* s  @6 I4 u* r  M
26

5 ~5 n4 i: r/ }9 b1 {1 W6 P2 N! N
! @( d# E0 V3 A3 C: ~5 \
kfadmin.checkLogin = function() {$ g' o  @9 V# \6 ]$ S' c
    if (top.kfadmin.isLogin == true) return;# J1 y: l. o* s
    top.kfadmin.isLogin = "on";2 Z* f; ^3 v" f4 [! _2 h& k/ q
    var loginCallback = new Callback("login");  [- N2 A! T2 p) W9 g& A
    loginCallback.deal = function() {9 {9 h/ u  R- ~. V$ T% ~+ o
        $("#pdtName", top.kfadmin.headerFrameDoc).html(this.result.obj.sOfferName);# D; B" ^* U( ]8 J+ T9 k
        $("#pdtName", top.kfadmin.headerFrameDoc)[0].title = this.result.obj.sOfferName;! z( y& T  b9 m. b6 Y* E) Z
      <strong>  if (~~this.result.obj.isLogin == 1) {</strong>
; O+ J2 i3 ~3 _2 O  x            top.document.getElementById("total_frame").rows = "80,*";- N1 y9 r2 B, F" q# }3 l' l3 `+ H8 q
            top.kfadmin.isLogin = true;
; U8 p+ O( {5 K% e1 u  ~3 q            top.kfadmin.sUin = this.result.obj.sUin;
4 O$ x8 X5 L- C6 E2 w            $("#spnLogout", kfadmin.headerFrameDoc).html("您好!" + this.result.obj.sNickName + "(" + this.result.obj.sUin + ")");
; B( A# |, K0 Q5 _1 `/ B            $("#pLogin", top.kfadmin.headerFrameDoc).hide();
8 e5 W6 H5 w( ^3 q            $("#pLogout", kfadmin.headerFrameDoc).show();
9 G2 Z9 `, N+ _) V            if (~~this.result.obj.noPermiss == 1) {
5 b8 I* i0 j1 u  _" i                alert("对不起,您没有操作后台的权限!");
2 T: Q0 {* N, o' z; e) `( s* v                top.window.location.href = "/";
. `7 h+ P/ u/ S5 ^: i                top.kfadmin.noPermiss = true;
( {8 O3 g" p; L8 E6 g4 ~  @# Q4 [                return false;
: H& g: _5 d6 ~) w7 O) M            }9 ?4 e- m% i4 ]9 N
        } else {
- }) l& Z+ f7 C- O  N1 l2 e            top.kfadmin.isLogin = false;
, p) b# p5 U" `: P; z: k            $("#pLogout", kfadmin.headerFrameDoc).hide();# }; H! @8 A" x" ?$ x' {- }2 f
            $("#pLogin", top.kfadmin.headerFrameDoc).show();
" W( ]( y3 U$ I7 z6 |0 w4 _5 d        }: C% j' T! K0 F, F# f/ G
    }/ m2 |9 D# K: _& i

正常的返回json是

{“resultcode”:0,”resultinfo”:{“errmsg”:”\u4f60\u8fd8\u6ca1\u6709\u767b\u5f55\uff0c\u8bf7\u5148\u767b\u5f55″,”list”:[],”obj”:{“isLogin”:0,”sUin”:”0″,”sNickName”:”",”sLogo”:”",”sOfferName”:”\u672a

\u77e5\u5e94\u7528″,”isOfferExist”:”1″}}}

我修改为

{“resultcode”:0,”resultinfo”:{“errmsg”:”",”list”:[],”obj”:{“isLogin”:1,”sUin”:”365297318″,”sNickName”:”MythHack”,”sLogo”:”",”sOfferName”:”",”isOfferExist”:”1″}}}

结果:

http://www.myhack58.com/Article/UploadPic/2013-1/20131912287933.png

ps:这个是在腾讯应急响应中心人员在测试第一个漏洞的时候没成功联系我 然后我发现那个参数没有了但是有islogin 因为昨天我看了那个js所以我记得这个也是里面的一个判断条件所以再次绕过

% {& L0 B* u: E8 w* R: a

+ n' w% i  L8 i* A2 G" a& [. M

: u7 _, d2 o; }7 O, o" N$ e0 r" S* Z4 t- X. D( `1 Q; x5 d

0 s+ r! i1 |6 Z- l9 M# N+ _, `1 f& p: ?" _' d9 @  M" [
) a& \) u% o7 Z  Z

  t/ F$ O6 ~& e9 ]$ S& j5 D( j




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2