设为首页收藏本站
切换到宽版

Discuz!官方免费开源建站系统

 找回密码
 立即注册
搜索
Discuz!官方免费开源建站系统»论坛 Discuz! 交流与讨论 Discuz! 4 BUG&意见专区 Discuz4.0.0RC3头像跨站漏洞
返回列表 发新帖

Discuz4.0.0RC3头像跨站漏洞

[复制链接]
Fast 发表于 2005-5-28 18:45:22 | 显示全部楼层 |阅读模式
漏洞信息:
事情要从那天和辐射鱼研究Discuz的漏洞开始,他给我发来了一个2.5F的头像跨站利用动画,思路就是修改数据包提交,并且针对的版本是>=2.5F的,我看了动画打算自己试下的时候,偶然发现仅存在于Discuz4.0.0RC3存在一个类似的漏洞,但是要幼稚得多,真不知道康盛世纪是怎么维护商业版的。

好了,来看这个漏洞的利用。

由于Discuz4.0.0RC3是商业版,玄猫没有找到泄漏的代码,所以无法在本地测试,我们在狗狗Google上搜索关键字: Powered by Discuz! 4.0.0RC3,(关于GoogleHack就不给大家详细说了),搜索结果可以发现很多使用RC3的站点,我们打开一个试下(那边拿葱的大婶,你别试官方站了,人家没有开放头像功能!)对了,前面已经提到,漏洞的一个要点就是论坛要开放头像功能。

我们随便打开一个站点:就它吧,一个很大的网络产品的生产商的支持论坛:http://forum.hua*******m.com/ 我们注册一个用户:玄猫,然后依次进入控制面板->编辑个人资料,点击页面下面那个”论坛头像列表”的按钮,这个是修改用户的论坛头像的功能,可以选择服务器上预设的图像作为自己的头像,(图一)我们把页面保存到本地,研究下。
保存到本地后直接提交,显示404错误,你猜怎样?呵呵,对了,犯了菜鸟的常见错误,没有修改表单的提交地址就直接提交了,而程序中又使用了相对目录,所以当然找不到页面了。我们用记事本打开保存到本地的文件,查找字符串”<FORM action=”,可以找到一个<FORM action=memcp.php?action=viewavatars method=post>的字符串,我们把它改为<FORM action=http://forum.hua*******m.com/memcp.php?action=viewavatars method=post>((图二),即把前面的网址补全。然后保存,我们打开页面提交下试试可不可以外部提交,提交后我们去” 控制面板首页”看头像,经测试是成功的,(图三)这个导致了一个严重的漏洞。

因为页面所使用的radio的控件选定值直接就是图片地址,所以我们设想在显示头像的页面直接调用了存储在数据库中的那个选定值,回到控制面板首页看下图片的地址是怎样写的。通过网页源代码,我们不难看到<IMG height=94             src="http://forum.hua*******m.com/images/avatars/02.gif"             width=83     border=0>的字样,这样它的图像调用代码就会是什么呢,大概是<img src=”$avatars”>

好了,我们来构造一个radio控件的选定值:用DreamWeaver打开这个页面(可能有的朋友问为什么不直接用记事本打开修改控件的值,这是因为我们要在控件的值内写入一些特殊字符,如<>一类,如果直接修改会破坏页面,即代码会出错,而使用DW的话,他会自动转义),然后点选头像一的radio控件,把值改为images/avatars/02.gif"><script>alert("玄猫啊玄猫,玄猫找漏洞咯!"</script><img src=",(图四)然后打开这个页面,选择头像一,并提交,程序回显修改成功,同时刷新页面,这时一个对话框弹了出来(图五),这个就是我们的代码<script>alert("玄猫啊玄猫,玄猫找漏洞咯!"</script>所实现的内容。

我们找个热门的帖子回复下,可以发现只要打开含有我们回的帖子的页面,就会弹出我们定义的对话框,跨站成功。(图六)

图一:http://tinypic.com/5dnprk
图二:http://tinypic.com/5dnq00
图三:http://tinypic.com/5dnq5f
图四:http://tinypic.com/5dnq78
图五:http://tinypic.com/5dnqbt
图六:http://tinypic.com/5dnqe1

这是我在别站看到的``不知道`解决没有`所以就发出来`咯`
回复

使用道具 举报

果冻☆泡泡 发表于 2005-5-28 18:59:56 | 显示全部楼层
早就發補丁了,此隐患并不會對您的數據産生威脅,但可以用來惡作劇及影響正常的浏覽。
回复

使用道具 举报

lzxfox 发表于 2005-5-28 19:34:31 | 显示全部楼层
dz2.5有解决补丁吗
回复

使用道具 举报

ynusoft 发表于 2005-5-28 19:39:27 | 显示全部楼层
经查证,Discuz! 3.1.2及4.0.0RC4之前版本中存在一个潜在的安全隐患,此隐患并不会对您的数据产生威胁,但可以用来恶作剧及影响正常的浏览。请您按照以下方法对您的版本进行补丁。

似乎没提 2.5

[ Last edited by ynusoft on 2005-5-28 at 19:47 ]
回复

使用道具 举报

逍遥大仙 发表于 2005-5-28 20:30:07 | 显示全部楼层
Discuz4.0.0RC3的补丁在哪?~~~
回复

使用道具 举报

风中帆 发表于 2005-5-29 02:10:42 | 显示全部楼层
早都有补丁了
RC3的补丁到商业区

2.5的补丁
https://discuz.dismall.com/viewth ... ge=1&highlight=
回复

使用道具 举报

crackcn 发表于 2005-5-29 20:07:52 | 显示全部楼层
Originally posted by 风中帆 at 2005-5-29 02:10
早都有补丁了
RC3的补丁到商业区

2.5的补丁
https://discuz.dismall.com/viewth ... ge=1&highlight=


谢谢,最近忙,一直还没有时间去找的呢
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2025-12-12 08:18 , Processed in 0.102077 second(s), 14 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表