找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2949|回复: 1
打印 上一主题 下一主题

dzX 2.0/2.5通杀0day 存储型XSS一枚

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:37:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。7 x9 H# r* ^" G% x
如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:
3 u4 @8 ~/ T7 |: w
( s7 j; d% i8 v% d) F/ R0 F1. r2 U+ [/ J1 m. n9 G+ R! m
<img src=javascript/alert(1);>.png5 g( _' f7 v/ l/ S
(这里的/在linux下会被转换成:      这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)) m$ F; H) ^0 a! Y
如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
' U' p2 [+ H, D1 g" y& v所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。
$ w' a5 V2 }/ z2 o8 w& D8 x修改xxx.png为! l  Q9 e$ U8 b4 B* l# \

0 r' t. z( `- i7 ^2 o! I+ R1
9 `2 `7 ^/ K, B1 g<img src=javascript:alert(1);>.png
7 q& f5 Q* F% h* m提交。
# _! Q7 Y" x& dxss会被触发在第二个页面,也就是点击图片放大之后触发。
' h5 S" C+ I4 e0 F: Z# Y' l0 H8 Qpwned!" T! Y5 z( V2 g
( ?  N0 @* d' J- @9 l1 Q
字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
7 V% l# u4 \1 c1 H4 K因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。* E, g& U8 E# |
虽然现在XSS很火,但我个人真的不是很喜欢这个东西。9 Q8 Z: y7 L( i6 k' ?" n% O: G) u- n4 N
但基友居然都说不行就只好自己硬着头皮再试试了。
9 h& U- o5 I5 k( l在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。3 O3 q8 `( ?& {9 w, a
而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。  Orz..
3 d$ v$ r  ]% R+ W. j7 y9 d9 p这貌似就是传说中的mission impossible了。8 e2 M) ~$ t5 J
我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:# T3 B: e& @8 f
1
" T- m) j# H/ P) I/ p, A<img src=x onerror=alert(document.cookie)>.png
6 o% v* _8 s7 N. Q原来的文件名被这个描述给覆盖掉了。
& A2 n* m& s" [2 Fpwned!6 M/ g6 D3 \, j4 y

) x9 H4 N1 c! @4 n7 p+ L而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)" r( S% K( R" Z: g
到这儿,我觉得应该已经没有任何的阻碍了。) t& g7 B; R) ^: V  ^
可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。$ J5 F9 H& M" K& X7 q" b
whatever!8 i. a3 H9 R7 c" R4 G
我觉得这些已经不应该是该去研究的问题了。
6 C* B; X8 Z& E; A3 t因为没有哪个网站和你有这么大的恨。9 n- X0 V- {% \
解决方案:
4 o: P* E6 L9 P6 a全局-上传设置-论坛附件-帖子中显示图片附件-否( D* a  b! v+ n/ \
这样,就搞定了。
# b/ D) o7 b. N/ o7 f5 R, f
回复

使用道具 举报

沙发
发表于 2013-2-17 19:17:13 | 只看该作者
我在法客见过
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表