无聊=百度=玩玩

帮朋友把QQ找回来无聊的没事做,逛百度却发现了个好玩的事情,哈哈......大家可以去试试哦,;P ;P ;P 别玩的过分就可以啦,大站可不是很好玩滴,小心把自己玩进去了,赔偿别人的损失就不值得了,写出来只是和大家分享一下:$ :$ :$
   
       首先这是个Apache的老漏洞，Apache在接收Expect这个HTTP报头会直接输出报头的错误信息，错误信息的内容并没有被转义。发出一个HTTP请求，给加上报头Expect: ，这个报头的内容Expect: 将会被当成错误信息输出。明白不?你要是这都不知道,那就BS你啊:P :P :P 那么针对百度测试一下发起一个POST请求:


       POST / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: zh-cn
Referer: [url]http://xss.betaslife.com/baidu.swf[/url]
Content-Type: application/x-www-form-urlencoded
Expect: Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: hi.baidu.com
Content-Length: 7
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: BAIDUID=875AE724A06D77C70D79C96D1CEB6C81

xss

       结果返回了:
                                          
                                    [size=4] Expectation Failed[/size]

The expectation given in the Expect request-header field could not be met by this server.
The client sent

Expect:  Accept-Encoding: gzip, deflate
but we only allow the 100-continue expectation.

    根据测试的结果发现百度空间的所有服务器都存在这个漏洞，当然现在很多大网站也存在这样的问题。
      
     那么再来看看这个漏洞，这个漏洞的跨站脚本是在主域名下实现的，也就是我们可以在hi.baidu.com下写任意的脚本内容. 大家都知道现在百度空间的富文本编辑做得比较安全，基本上没有什么跨站脚本漏洞,上面测试出了漏洞，那么利用这个Apache漏洞就能做一些比较有趣的事情了，哈哈....要找出能发出这个HTTP报头的方法，如果利用AJAX技术是会有域限制的，所以我们只能利用FLASH文件。
     在测试过程中我遇到了一些问题，Expect头输出的内容是延时的，很多如DOCUMENT.WRITE和NEW IMGE()的方法也都会失效，直接
Expect: 远程链接一个脚本也不会被执行，所以我们只能用类似的方法在网页加载时就运行脚本.
      然后最主要的是浏览器的编码问题，当发起这个请求后返回的页面大部分是UNICODE编码，也就是你想写入的JAVASCRIPT不能包含中文，这里CCG论坛交流群教了我一个小技巧指定脚本标记中的编码突破了这两个问题就能直接实现我们的攻击了.;P ;P 其他重点就不再多说了，毕竟这个老漏洞还有一定的危害的，总之玩玩就可以了,别乱来,否则别人是会追究你滴责任滴:loveliness: :loveliness: