找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2947|回复: 1
打印 上一主题 下一主题

dzX 2.0/2.5通杀0day 存储型XSS一枚

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:37:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。; b. k2 i5 M" {8 @" Q
如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:
9 w9 x/ v0 w8 e: k, K - Q: H9 p: q/ u' q& z
14 U, c. B" O9 H# L' I1 j6 U
<img src=javascript/alert(1);>.png$ L5 M2 a) @: T; K
(这里的/在linux下会被转换成:      这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)" B. j* z; ?& C( U0 _
如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
$ Y+ B5 g* T; G! f" |; ]所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。
' i+ d. E5 ^' H5 X( f3 W修改xxx.png为
2 A! U; q0 ^( R+ Z" q9 G
, [6 e" ^$ ^5 U" C1. j' [4 E( Z; ^+ r
<img src=javascript:alert(1);>.png
3 P4 ~5 T( W; z. v# W' p' M( Z提交。
* e) `: S% m# Z+ @: {xss会被触发在第二个页面,也就是点击图片放大之后触发。
, W7 H/ X2 U, E  Y* dpwned!' T# ^' y" [4 M3 ?
5 ^. [3 x8 i4 t$ i6 C1 O6 Y$ ^
字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
# v8 n; \  X7 \& Z( u0 a因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。
' L; p' n5 P9 N% r& c虽然现在XSS很火,但我个人真的不是很喜欢这个东西。. J7 n4 j& F9 N: f9 W
但基友居然都说不行就只好自己硬着头皮再试试了。
1 `% M% g( t" z9 [+ k在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。
. t9 C  N- L( X0 i- B8 V而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。  Orz..
* P7 d$ Q5 E$ u' h这貌似就是传说中的mission impossible了。$ \: t( i3 y+ X# F& {
我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:4 w* U$ S1 M1 K: f: \! b& V
1
% S0 E: r: E) I0 x: w$ F+ w<img src=x onerror=alert(document.cookie)>.png
& ~* o. @! v2 p0 }( W' {' R原来的文件名被这个描述给覆盖掉了。& g$ C9 v: m( }$ X  c
pwned!
  Y$ l9 t) n% |, c' c# Q9 i8 d % R' i" o' @$ ]7 q7 [+ A
而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)
  ]+ j6 F' S% `4 {8 W+ Y7 E, s到这儿,我觉得应该已经没有任何的阻碍了。" k( _: I% s) m" l+ {1 ]$ W9 o, p) d: V8 |
可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。
/ R& g; U2 x6 }: T0 _" mwhatever!
$ y# a& l  D* Y: C8 F/ d' ~7 R我觉得这些已经不应该是该去研究的问题了。
8 u# \: |, H+ W3 i& t7 c因为没有哪个网站和你有这么大的恨。
6 E$ |3 ^0 w7 N. B2 F/ q解决方案:
+ E8 Z* V7 u" f" V4 p全局-上传设置-论坛附件-帖子中显示图片附件-否( l: r8 I. E1 l( t8 W
这样,就搞定了。9 g4 ~8 o+ s8 q% C# M2 C& u) \
回复

使用道具 举报

沙发
发表于 2013-2-17 19:17:13 | 只看该作者
我在法客见过
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表