在discuz!的發貼、回貼、PM等中的subject都沒有經過過濾,所以也可以添加代碼。
例如
http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22
效果是首先彈出自己的cookie
利用方法:把上述代碼放置到img中。
適用版本:discuz!2.x
discuz!3.x
一種利用discuz!2.0漏洞進行欺騙獲得cookie的嘗試
通過測試XXXFan論壇的PM功能存在一個安全漏洞,具體描述如下:
XXXFan的給某個會員發送悄悄的鏈接如下(假定這個會員名字為XXXFan)
http://XXX/pm.php?action=send&username=XXXFan
因為論壇程序對會員名字沒有進行過濾,而是直接顯示在發送到欄目中(TO:),所以可以在名字後面加上script代碼。例如
http://XXX/pm.php?action=send&username=XXXFan ";><script>alert(document..cookie)</script><b%20"
上面的鏈接點擊以後首先彈出的是自己的cookie內容。
當然我們可以先在自己的站點上構造一個程序來收集cookie,類似於
getcookie.php?cookie=
但是如何來誘使會員點擊呢,如果簡單的放在論壇上,太容易被識別。所以可以利用discuz論壇程序的另外一個功能,“帖子介紹給朋友”功能。
因為discuz的這個功能對填寫的emial地址沒有進行任何過濾、辨別和模版,可以偽造任何人給別人發信,安全性很高。利用這個功能我們就可以偽造ExploitFan的管理員給某個會員發一封信,誘使會員點擊我們准備的URL,如果誘使就看自己的手段了,例如可以說“論壇正在測試新功能,請您協助點擊上面地址,我們會在後台記錄您的點擊在合適的時間會給您增加積分以做獎勵”等等。
因為鏈接地址是XXXFan的,而且發信人和郵件地址都是XXXFan的官方地址,所以可信度非常高,而且不會留下任何把柄。當然為了更高的安全性,可以在<script>裡的內容加密,以進一步增加隱蔽性。
至於得到cookie如何做,可以嘗試cookie欺騙或者是暴力破解MD5密碼
本方法適用於大部分使用discuz2.0的論壇,至於discuz3.0的利用方法請參與在我以前發表的discuz!悄悄話漏洞
【BUG】Discuz!投票的BUG
投票可以用
misc.php?action=votepoll&fid=2&tid=16980&pollanswers[]=n
(n為選項,從0開始)
的方式通過URL來直接投票
但是如果n>最大選項呢,嘻嘻~
照樣提交成功,不過增加了一個標題為空的選項