A-A+

如何黑掉知乎?

2013年11月11日 渗透测试 暂无评论 阅读 1,998 次

今天知乎搞了个活动,主题是“网络安全的背后”,邀请我作为嘉宾参与答题。

我答了两个题目后感觉不过瘾,于是提了个问题“如何黑掉知乎?”,在知乎答题嘛,就按照知乎的游戏规则来。

前些时我听到某大牛跟我说想渗透下知乎玩一下,所以我直觉上感觉知乎的菊花可能要紧一紧了。

提完问题后,我邀请了同为嘉宾的来自“PKAV小组”(就是那个给黑板报的黑客讲坛投稿过的团队)的李普君回答该题,直觉上感觉他应该有料。

孰知过了一个小时回来一看,李普君同学果然不负众望,贴了一个之前黑掉知乎的过程,我自作主张摘录到这里:

 

============ 我是如何黑掉知乎的 ============

 

作者:PKAV-李普君

 

一次偶然的机会我通过前端问题在社区种下的蠕虫拿到了管理员 @李奇 的身份权限,知乎用户体验真是出奇的好,一进首页就被导航栏大大的「管理」两个字吸引了,点进去直接就是管理后台(图就不贴了)。

黑下之后我干了些啥?

后台权限在手里留了一个月之后发现实在是没啥用啊,除了能审批一些东西基础上没啥其它好玩的。翻来翻去看到有一个首页公告栏可以植入html代码。我通过这个点在首页植入一段脚本,也没干啥坏事,就是自动关注我 + 踩一些我看的不爽的答案。

是怎么被发现的呢?

问题就出在自动关注上,一些知友觉得很奇怪取消了又被自动关注上就去投诉我,管理员就把我号给封了。这时候他们还没意思到后台权限被拿了,我看号被封了也没想那么多,就自己上后台解封了,估计就这个原因被发现的(@李奇 求证)。

这也是这个问题的答案:“从未主动操作过却显示「已关注」某人,甚至取消关注一段时间后又会「自动关注」之,这是什么情况?”

那么,管理员可以查看匿名吗?

从后台来看我拿到的是最高权限组,没有任何有关匿名的功能,所以不用担心。不过,的确是有「永世不得翻身强制折叠」功能。

之后,发生了什么呢?

@黄继新 和相关的开发人员都有跟我沟通过,漏洞他们已经发现和修补了,但还是让我把漏洞提交到乌云网,给我发放礼物,对白帽子的态度上知乎绝对是 业界良心。

 

现在还有办法可以黑掉知乎吗?

未完待赞……

 

@大风 故意邀我的 (← ←)~~

 

根据李普君的描述,应该是在知乎上放XSS蠕虫,获取了管理员的Cookie,而知乎的后台可以从同一个域下直接登录,从而获取了管理员的后台权限。这次攻击其实是浅尝辄止,李普君同学业界良心。

上周我遇着黑哥的时候还在和他感叹,近些年来没有什么影响力大的新技术问世,创新精神已经大不如前了。我们讨论到近年来比较流行的攻击技术一个是“社工库”(就是V那种手握13亿用户信息、密码库的,回复01查看关于V的文章),一个是“XSS盲打”。我个人认为这两种技术都有很大的机会黑掉知乎。

所谓的“XSS盲打”就是在网站前台,比如评论等地方,插入一段XSS的攻击代码;当管理员在后台审核评论内容时,因为后台页面很可能也没有防范XSS攻击,所以XSS代码会执行,从而可窃取到管理员的后台权限。其实这个技术在三、五年前就出现过,我记得安全组织80sec曾经用这个技巧黑过cnBeta,不过当时还没上升到这个理论的高度。

期待有更精彩的答案出现。

本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay

给我留言