APP安全之上车一处无效xss可间接影响18万土豪车主(包括认证的特斯拉/劳斯莱斯/法拉利车主等)

2016-07-17 3,426
漏洞标题 APP安全之上车一处无效xss可间接影响18万土豪车主(包括认证的特斯拉/劳斯莱斯/法拉利车主等)
相关厂商 ishangche.net
漏洞作者 小龙
提交时间 2016-05-26 10:26
公开时间 2016-07-10 11:10
漏洞类型 XSS 跨站脚本攻击
危害等级
自评Rank 20
漏洞状态 厂商已经确认
Tags标签 XSS,持久型xss,反射型xss,存储型xss

漏洞详情

下载APP 上车

然后发动态的时候输入xss

APP的ico图标好帅啊

22.jpg

打到cookie:

location : http://ishangche.net/staff/toExamine

toplocation : http://ishangche.net/jsp/common/main.jsp?realName=%E9%AA%86%E9%A3%9E&&userName=luofei#

cookie :

opener :

HTTP_REFERER : http://ishangche.net/staff/toExamine

HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36

REMOTE_ADDR : 119.57.68.21, 119.57.68.21

IP_ADDRESS : 北京市--东四IDC机房

北京的。。 没返回cookie,尼玛

仔细观察

userName=luofei#

luofei?

发现他的用户名是姓名,赶快拿出我的姓名top爆破,但是无果

算了,死马当活马医,试试弱口令

luofei/luofei 错误

luofei/123456 人品爆发进去了。。。

1:总用户数

1.jpg

2:加粉

2.jpg

3:统计表

3.jpg

4:触发xss位置

4.jpg

5:视频+照片审核

5.jpg

6:各种行驶证

6.jpg

10.jpg

13.jpg

7:私密照

8.jpg

8:各种审核信息

7.jpg

9.jpg

11.jpg

12.jpg

14.jpg

9:给自己账户加vip

什么都没加之前

15.jpg

得到我上车号:348498

开个会员吧,黑马的。哈哈

16.jpg

17.jpg

10:提现

提现.jpg

11:看妹纸素颜照。666 各种素颜

18.jpg

19.jpg

开奔驰的妹纸哦- -

20.jpg

上车号	用户昵称	提交时间	状态	审核时间	操作
149753 百合 通过

21.jpg

另外找到多个管理员爆破

密码abc123

81 geton abc123 200 false false 471

86 liujia abc123 200 false false 470

密码 账户

9 haoju123 haoju123 200 false false 327

23.jpg

liujia的权限和luofei一样大

24.jpg

haoju123禁用了。。

漏洞证明:

11

修复方案:

22

版权声明:转载请注明来源 小龙@乌云

Tags:
评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38603 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号