从微信群不良广告到酷我音乐存储型XSS再到乐视url跳转
darkless

以下文章中提到的所有漏洞都已经报相关厂商并已修复

事件起因

在一个满是黑客(安全从业者)的群里,竟然混入了一个不明飞行物,他还发了个极具诱惑的广告:

image

我仔细一看(马赛克后面的文字请自行瞎想),感觉事情不对,点开其中的广告仔细欣赏了一番,于是有了下面的故事。

微信不背这个锅

一般来说在微信中打开未经备案的域名或者微信监测到的恶意域名都会提示风险并阻断访问:

image

但是骗子在群里发送的链接却没有提示,直接跳转到了下面这个页面:

image

海底捞满脸问号,我做错了什么?

瞧这优美的设计,骗子的美术功底还不错。点击抢,就会跳转到另外一个页面,提示你已经抢到了多少红包,分享朋友圈和群即可领取。这个页面我没截到,大概就是我上面描述的东西。

大概的代码如下:

image

然后就需要你去联系客服人员,然后有人就上当了。

image

分析过程

打开骗子发的链接后发现有一个跳转过程:

image

跳转的那个页面如下:

image

酷我音乐留言板,我怀疑这个页面存在xss,被人插入了恶意的js代码导致了页面跳转到骗子给定的页面,也就是上面看到的抽奖页。

我仔细看了下页面的请求信息:

image

找出了二个可疑的加载js代码的url地址:

http://cdn.zhudazhanzuidiao.com/222.jpg

http://mbawind.oss-cn-beijing.aliyuncs.com/2wap/2mei/s.js

其中222.jpg文件也是一个js文件

s.js文件是最主要的js文件,就是用来展示那个抽奖页面的。s.js中还加载了几个js文件。

有兴趣的同学可以深入分析下这几个文件

文件 MD5
222.jpg_ 610d141a3b1e827dbd29fa2a1fff6565
s.js 99dd595529146aef041fe2906bbb776d
t.js 1ad50dcd3b631ad0cf2a252bbda6ba2b

酷我音乐主站XSS

尝试寻找酷我音乐存在xss的留言板地址。

最终发现的地址如下:

http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?subid=6&dis=/szyy/testt/comments.jsp&pn=0#29

subid的值可以遍历,不同的值代表一个留言页面。

image

很多页面都已被垃圾留言充斥。

image

subid=6的页面已被黑产利用来进行诈骗钓鱼等非法活动

每个页面下面都有个留言框可以留言:

image

这里没有登录按钮,可以在酷我音乐登陆后把cookie带过来,即可留言。

尝试写入一个xss payload,弹窗成功,说明这个页面确实存在xss。

image

提交厂商进行修复:

image

后续

给微信举报后,已将原来那个链接封禁了,今天打开一看又可以访问了。仔细一看原来是借助乐视的url跳转漏洞复活了。黑产大哥,我服了you,可否把你的零day送我几个呢。

这个洞还没修,图片就不放了。

 评论
评论插件加载失败
正在加载评论插件