搜房网微博蠕虫实现与思路

微博蠕虫的部分思路和实现办法探讨

目标 :http://t.soufun.com/

其实本人只是擅长的是渗透和安全 对于蠕虫这块还真没有研究过

不过之前有个一个搞房地产的哥们说看看能不能实现 刚好就顺便研究了下

以下是我操作的整个流程 有不对的地方请各位多多指教

注册用户 折羽鸿鹄

随后发现第一个跨站洞,不过不好使,需要等待五秒,先记录下来,接着走

uploads/201301/26_162805_2.jpg

邮箱验证发现第二个跨站洞

uploads/201301/26_162811_3.jpg

下一步肯定是找个储存型XSS 当然首先发微薄的地方 毕竟目的是蠕虫

抓包得出post数据

uploads/201301/26_162817_4.jpg

直接post提交发表微博 OK了

uploads/201301/26_162838_8.jpg

紧接着各种alert测试 很快抓出XSS

post提交成功 刷新看到可爱的弹窗出来了

uploads/201301/26_162824_5.jpg

继续研究如何自动关注,

抓包得出

uploads/201301/26_162830_6.jpg

把ID换成自己自己的ID,邮箱验证链接里的USERID 就是自己的ID了

至此整个流程必备前提全部准备好了 蠕虫就好写了

通过alert的XSS调用远程JS直接post提交发微博数据并执行自动关注即可实现。

uploads/201301/26_170225_9.jpg

运气好还可以抓到管理后台密码,各种漂亮妹纸的密码。

对了 在补充一些 如下图 显示乱码 那是因为前边IMG给闭合了

uploads/201301/26_162834_7.jpg

只需要根据具体情况代码闭合下就好了

剩下的就散发思维吧。

File: 点击下载

无聊 干脆做个测试 .. 新注册用户 直接上图

uploads/201301/26_173540_10.jpg

访问首页后 ….

uploads/201301/26_173545_11.jpg
uploads/201301/26_173550_12.jpg
uploads/201301/26_173555_13.jpg

后记:当时只是研究着玩,

突然发现如果不在JS端加以验证限制

每个用户将不停地转发 直到服务器资源会耗完。

研究到此为止 。

目测私信有同样的漏洞,而且危害性更大!

————————————————————————————————————

个人认为一个优秀的蠕虫应该具备各种自动传播的特点。如自动关注 自动转载 自动推荐 自动私信等等 ,当然这里探讨的蠕虫仅限于SNS互交类网站,非PC蠕虫,首先实现各种自动蠕虫的基础在于可以执行各种POST,最简洁方便的就是通过调用JS实现了。

想调用远程JS 需要找到一个XSS点,而且最好是储存型的XSS,这样可以写入我们自己的远程JS,可持久有效的传播转发,如何网站有域内链接限制,那也没关系,仅需要找个URL跨站链接即可。

对于搜房网我选的XSS点在发微博信息这里

因为这里实现后可以无限转发此条带有蠕虫的微博信息,具体详情请看 http://www.91ri.org/5215.html

当时写的比较简陋,思路也不开阔,大家海涵

至于如何找XSS 就不讨论了,一旦XSS点插入成功,那么下一步就是抓取自动关注\推荐\评论\收藏\私信\等各种可以传播的POST,然后写入我们的远程JS文件内(因为访问者都会有本地COOKIES,所不需要抓取),当我们发出去一条调用了远程JS的微博,就实现了无限制泛滥传播的蠕虫了

整个蠕虫的流程就是这样实现的,还是那句话,思路清楚了,其实也没什么技术含量了。

对于蠕虫传播这块,本人是第一次研究学习此类技术,对此也不是很精通 ,如果哪位还有更好的实现方法请多多指教。

至于防御的机制,其实很简单就是做好各种过滤即可,只要不出现XSS点,蠕虫没有传播的机会,不知道这样说不对,实在是不知还有什么实现方式,当然WEB被渗透另说。

本文link:http://blog.weili.me/blog/article.asp?id=123.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。