live800在线沟通平台客户端存储型XSS可攻击客服

2015年6月23日03:18:15评论533 views字数 249阅读0分49秒阅读模式

摘要

2014-09-24：细节已通知厂商并且等待厂商处理中
2014-09-25：厂商已经确认，细节仅向厂商公开
2014-11-19：细节向核心白帽子及相关领域专家公开
2014-11-29：细节向普通白帽子公开
2014-12-09：细节向实习白帽子公开
2014-12-23：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(26) 关注此漏洞

缺陷编号： WooYun-2014-77169

漏洞标题： live800在线沟通平台客户端存储型XSS可攻击客服

漏洞作者： mramydnei

提交时间： 2014-09-24 16:40

修复时间： 2014-12-23 16:46

公开时间： 2014-12-23 16:46

漏洞类型： XSS跨站脚本攻击

危害等级：中

自评Rank： 10

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：持久型xss

4人收藏

漏洞详情

披露状态：

简要描述：

帮朋友测试项目时无意间发现的。

详细说明：

我没有做过大量统计和测试，但根据我这几个月零零散散的测试我认为仍然存有大量的桌面应用，web应用和浏览器插件存有一摸一样的问题。

所以，这个XSS的输入点还是文件名。

漏洞证明：

首先我们构造这样的文件名：

code 区域

<iframe src=file&#58&#47&#47c&#58&#47WINDOWS&#47system32&#47drivers&#47etc&#47hosts onload=alert(frames[0].document.body.innerHTML)>.jpg

随后通过http://x55.me/800.htm向客服发送文件，如下图：

现在切换到客服的应用界面，看发生了什么？

可以看到live800在线沟通平台不但正常解析了我们的iframe，我们还顺利地访问到了本地的文件内容。从这个结果来看，我们还是可以通过这个XSS来窃取一些本地文件的内容的。不过应该还是会受到文件类型（扩展名）的限制。

除此之外，还有一点需要提一下的是。一旦客户端被中下了xss后门，这段html会作为聊天记录一直被存储在下图所示的目录当中。

如果需要修复这问题，建议在发布补丁的同时，检查或者清除live800在线沟通平台的的cache文件。因为这个文件名是攻击者完全可预测的。

修复方案：

暂无

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：2

确认时间：2014-09-25 00:21

厂商回复：

非常感谢，确实有部分系统有这个问题，已经修复

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-24 16:49 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

1

厉害✔

1# 回复此人
2014-09-24 17:00 | zzR ( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红＊＊联盟欢迎你－0-)

0

攻击客服妹子做什么呢

2# 回复此人
2014-09-24 17:12 | PgHook ( 普通白帽子 | Rank:1020 漏洞数:123 | Portulaca grandiflora Hook.)

0

@zzR 还不是想调戏下人家啊！！

3# 回复此人
2014-09-24 17:22 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

0

这个系统，有一次跑出过注入，，，但是不能再次的复现了。。。。忘记哪个点了。。。。

4# 回复此人
2014-09-24 18:01 | 超威蓝猫 ( 核心白帽子 | Rank:1133 漏洞数:122 | STEAM_0:0:55968383)

0

已膜拜m神 m神千秋万代一桶浆糊

5# 回复此人
2014-09-24 19:27 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

0

哈哈哈哈哈，这东西好玩！

6# 回复此人
2014-09-24 22:03 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

0

666666

7# 回复此人
2014-09-25 02:04 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

0

@mramydnei T A T 补了！！没得玩了

8# 回复此人
2014-09-25 15:15 | z7y丶 ( 路人 | Rank:4 漏洞数:1 | 我是z7y的表弟)

0

已膜拜m神 m神千秋万代一桶浆糊

9# 回复此人
2014-12-08 10:52 | 冰无漪 ( 实习白帽子 | Rank:63 漏洞数:10 | 寂傲沧溟远，睥越天关，剑殃造劫竞锋寒，祸...)

1

洞主果然有过人的长处

10# 回复此人
2014-12-23 17:59 | Neeke ( 普通白帽子 | Rank:110 漏洞数:26 | 额滴歌神呀！)

1

2分？

11# 回复此人
2014-12-23 18:22 | black hook ( 实习白帽子 | Rank:32 漏洞数:9 | 新人、)

1

@mramydnei 爱慕哥还记得调戏的那个客服妹纸么

12# 回复此人
2015-01-26 22:10 | M4ster ( 实习白帽子 | Rank:39 漏洞数:7 | )

0

m哥，你提交后把你的帐号借我一下

13# 回复此人

漏洞概要 关注数(26) 关注此漏洞