百度i贴吧0day跨站漏洞

经常逛百度贴吧的读者们可能知道，百度在去年 12月31号晚和1月 1号晚一共爆出了3大0day跨站漏洞，都是高危级别的，2个 bug是和小游戏有关的，剩下一个是与贴吧中显示的会员徽章有关。

在说本文的 0day前，我们先来看看之前的3个 bug是怎么被发现和利用的。

首先是前 2个bug，在去年 12月 31号下午的时候，小游戏提交分数的算法首先被我的一个朋友反编译出来，并翻译成 vbs脚本语言，随之而来的是Chrome浏览器插件，可以直接写你想要的分数。

接着，我看到了有-1分，本着好奇心，笔者尝试使用公开的vbs脚本提交了一串英文，想不到居然成功提交了，并且出现在 i贴吧上：

理应显示数值的地方居然可以显示英文，我对百度的工作人员制作数据库的能力表示极大的怀疑。紧接着，是笔者的另外一个朋友，看到我的显摆后立刻尝试输入 <script>标签，没错，脚本被执行了！可惜这个漏洞暴露的太快，很快就被百度的工作人员修复了，不能提交非数字字符了。就在其以为没有问题后，其实为小游戏显摆的第 2个bug的爆发给足了充分的准备时间。

在同一个地方，除了分数显示上有问题外，在前面的贴吧名称的显示上也存在着问题。

可能是由于这个小游戏能在小游戏吧和黄金矿工吧上玩，所以百度显摆游戏成绩的时候还要提交贴吧的名称，这时，我们试着提交了“</a><script>alert(“xxx”); </script><a href=”xxx”>黄金矿工”这样的贴吧名称，没错，有弹框跳出来，立刻删掉，去做充分的准备了。

接下来的事大家都知道了，就是在 1月1号晚上爆发了922ee病毒，因为都是最高分，我们从黄金矿工的排名上可以看出，每秒有 400多人的感染速度，这个是相当可怕的（922ee脚本病毒的代码见附件）。

同一天晚上暴露的另外一个跨站漏洞就是会员徽章的 bug，由于准备不够充分，被另外一个人泄露出去了，所以没有怎么利用，不过那次可谓是“全民”使用漏洞！由于会员徽章是在头像附近的，所以几乎所有看到使用方法的都去尝试使用这个漏洞，那时间百度贴吧弹框不断啊！

更有趣的是百度在1月 6号的更新了一次贴吧版本，居然把以前已经修复的会员徽章bug的又爆出来了，不过这次很速度的在1小时左右就修复了，看来曾经的补丁只是临时的，更新后没有把修正的补丁也弄上去。

之前的3大漏洞就介绍到这里，另外值得一提的是，其实投票系统在 4号之前也有个0day的漏洞，在投票选项中写入HTML代码居然没有过滤，直接被写入了网页代码，如图

可惜不知为什么不能直接执行 script代码，但是我们兴许可能使用Cross Iframe Trick的方法来突破 iframe的限制。（现在百度在贴吧中已经修复，不过在笔者投稿的时间的时候，i贴吧的投票系统的bug依然存在）现在我们就来说说这次的漏洞吧，不过我事先要先申明，请不要利用该漏洞做违反法律法规的事哦~这个漏洞只供大家技术上研究。研究的时候请尽量保持低调，最好在有吧主权限的贴吧使用，这样研究完后可以方便的清除痕迹。

首先我们要准备 2个账号，一个为受影响的账号（1号），一个为攻击账号（2号）。

这里笔者推荐大家使用 Chrome浏览器，它可以方便的调试网页代码。

先来说说原理吧，这次的 0day漏洞一样出在i贴吧上，看来百度没有做好测试工作就迫不及待放出了 i贴吧。

由于百度 i贴吧的机制类似与微博，会显示关注的发言回复等等数据和自己收到的回复。

问题就出现在显示自己收到的回复上，i贴吧不像贴吧上回复发帖显示的过滤都做得很严密，它会把部分回复显示在 i贴吧中，这时，如果是使用HTML代码回复的，在贴吧中看不出什么，代码也不会被执行，但是在 i贴吧中就不一样了，它对一部分文本不做任何的处理就直接 write到网页上了，这就出现跨站漏洞了！我们接下的的事就是去仔细研究它了。

首先，我们使用 1号账号先发个帖，这是为了方便攻击做的准备（我们可以使用2个浏览器，这样会方便很多）。然后用 2号先随便回复一点东西（这是测试，可以不回直接到第二步），看，1号账号的用户栏下出现了一个新回复的提示：