上一篇中介绍了圈圈网通过xss和基础钓鱼获取管理员账号口令信息,在此详细介绍。
一、基础钓鱼利用
1、登陆圈圈网http://www.ihelpoo.com/后在个人主页上可以“记录生活”,与其他位置不同的是此处图片允许从输入网络图片地址,但未对图片的有效性判断,导致可以输入.php的地址来进行基础钓鱼(基础钓鱼的原理前面文章已经讲解过)
2、结果展示。管理员口令也是通过这种方式获取的(管理员安全意识太不强了)
二、xss漏洞利用
1、漏洞出在聊天窗口。进入另外一人的“小窝”时会在右下角弹出是否在线的弹框,点击后可以用于进行对话。网站未对对话进行过滤导致可以输入跨站代码进行跨站(另外奇葩处是只要登录xss代码就会执行,不需要用户点击,因此只要给管理员发送xss代码只要管理员登录100%可以获取管理员cookie)
2、效果展示
吐槽一下:竟然在cookie中保存有口令的md5值,不知网站建设者怎么考虑的。
ps:还有一处未过滤,也可以保存跨站代码,即在“活动”处通过“举办活动”来发送xss代码。不过此处利用就有点难了,需要管理员审核活动。举办活动处可以填写活动信息,使用的是编辑器,编辑器可以在HTML代码模式下编写,这样直接在该模式下可以插入xss代码。
三、csrf利用
此处漏洞是师兄发现的,可以用于增加粉丝数,利用的位置和基础钓鱼利用的位置一样。
1、网站有个“圈他”的功能,即粉丝功能。但是通过分析“圈他”处的链接发现添加粉丝有规律,如本人想作为id号为10565的粉丝,点“圈他”访问的链接是:www.ihelpoo.com//mutual/priority/10565
因此,如果想让别人做我的粉丝,只要将上述urlhou的id换成我自己的,然后让别人访问即可。但是怎么让别人访问呢,想到基础钓鱼利用的地方,将该url作为图片地址即可。这样每个登陆的人就会自动访问该图片的链接,这样就会作为我的粉丝了。