找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2950|回复: 1
打印 上一主题 下一主题

dzX 2.0/2.5通杀0day 存储型XSS一枚

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:37:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。! m' Z) T& s7 x8 e( _9 s7 {
如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:6 L* q1 o- O( c5 z! P
* P5 _5 B  n1 l; ?! a
1# g& X0 A1 ?& s: E
<img src=javascript/alert(1);>.png
- }8 k3 Q2 t+ ^+ ]( U$ p! u(这里的/在linux下会被转换成:      这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)
9 p, k5 e4 y7 R7 `( y5 H: N如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
! e- d  b! I0 |  O/ F8 j- P) d所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。9 x  ?0 Q& T3 T8 H* E  _6 V2 g# n
修改xxx.png为
5 I- c6 X; H" K  u" f( l
. }9 z- v" t  q$ e1 M3 N7 X1
9 `: |2 E! U  j5 h/ K% A<img src=javascript:alert(1);>.png
+ |7 h/ x8 V9 L& ]. H提交。  x: Z- a( w9 a5 `
xss会被触发在第二个页面,也就是点击图片放大之后触发。
2 C0 Q5 y  D/ Y# P" Y6 _4 n3 Rpwned!9 ~3 Y7 L+ }2 P" B

8 h* @6 m. O. \0 i) u' A- S字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
0 `! P. c; }# V+ V7 f- ?' f因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。# S  h" O8 T* i' t$ I1 h$ P2 I
虽然现在XSS很火,但我个人真的不是很喜欢这个东西。
) {7 b+ j3 x& C, X# f但基友居然都说不行就只好自己硬着头皮再试试了。! I/ i7 v) H5 Y
在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。* C8 Q2 q/ o7 P) r5 ~% a0 D
而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。  Orz..
; U8 d8 O! N) Q  _: E0 Y& Q这貌似就是传说中的mission impossible了。
/ d+ c) I- y# ?6 }我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:7 }& @" r* C3 ?- I# S8 y
14 {. |5 z) y& u' ]( r
<img src=x onerror=alert(document.cookie)>.png
. G2 B/ R8 g. [- [! m' q1 \原来的文件名被这个描述给覆盖掉了。" J4 B  @* ~' w: p9 H1 Y$ u6 A
pwned!
0 @, h* D' [8 O" U! a$ t : c* ^8 }! q8 r2 N0 [# R
而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)  A5 C) r* X+ |. O. l
到这儿,我觉得应该已经没有任何的阻碍了。
0 {! u! L5 i. m& `2 b8 m可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。
+ I% Y, T$ N2 X) H9 I: swhatever!# w% i2 ?3 n4 S( I9 \
我觉得这些已经不应该是该去研究的问题了。& |# Y7 C1 [8 k4 ~5 m  s( Z. q, V
因为没有哪个网站和你有这么大的恨。
3 a) \$ ^) n! s, b* E. i: D解决方案:% _6 M# b- y9 R5 I0 }
全局-上传设置-论坛附件-帖子中显示图片附件-否6 q3 k7 {* b" [; s7 W) R1 S8 z
这样,就搞定了。
1 \8 L1 j+ Y# U, o7 ]* e, K  |7 R
回复

使用道具 举报

沙发
发表于 2013-2-17 19:17:13 | 只看该作者
我在法客见过
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表