找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3418|回复: 1
打印 上一主题 下一主题

dzX 2.0/2.5通杀0day 存储型XSS一枚

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-16 21:37:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。
: g4 Z% d1 C, T1 O8 S) W如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:
4 o. N1 }# g/ U
# b$ V/ s8 E9 x0 h" y& g13 _. _% T7 M" V0 i- A8 m
<img src=javascript/alert(1);>.png
& ^3 O0 x, d2 @5 o- l& _. E7 b(这里的/在linux下会被转换成:      这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)* G. i* h7 P- u* [3 P; D6 b
如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
7 b7 |8 j( _5 o所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。
# y/ y5 y  c3 e# `6 `) _修改xxx.png为- T6 I( ^9 y9 k2 q  L4 W% j. X8 C3 F

8 {# p# q5 Y( u1% q+ K6 f- \: f
<img src=javascript:alert(1);>.png4 L* u( j; e8 K7 Y8 R$ R
提交。
6 }0 U4 m: t- R  z- `xss会被触发在第二个页面,也就是点击图片放大之后触发。
$ }% i* R! M: V' }pwned!
( }4 u2 H7 G* S* v: \ & a( }4 t3 a/ w
字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
: s. q9 J! M: m; V8 z$ h因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。
, R/ J3 V3 W, I8 Q) _' @虽然现在XSS很火,但我个人真的不是很喜欢这个东西。+ P' `3 S/ N* S
但基友居然都说不行就只好自己硬着头皮再试试了。
4 L0 q, ?9 Z9 ^, n* t在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。
' Y* ?6 y$ U7 z1 r* y/ y而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。  Orz..! [& F( b) ?' o$ d4 q7 s' ]8 D* j
这貌似就是传说中的mission impossible了。% C+ K2 t/ M/ r, C6 r" \$ ~: I/ s' t( X, P
我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:
1 [  ^3 ~$ E; J1
+ F5 _$ j2 L9 y0 ^9 B8 |<img src=x onerror=alert(document.cookie)>.png  A6 _- s6 S! ?% U
原来的文件名被这个描述给覆盖掉了。
( K5 Y/ H7 X+ Apwned!$ w( a6 ?( _5 J6 T9 n

) _* V" f" o! Z, W+ ?  c0 U而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)$ m3 D, ~2 f7 F/ }3 [- T) V
到这儿,我觉得应该已经没有任何的阻碍了。
- }: v% Y1 p( \4 |6 L9 L# X可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。! O; Z( |1 |! y5 O1 I
whatever!
( a0 E4 V7 N" v+ B$ x4 v. T我觉得这些已经不应该是该去研究的问题了。4 |; b+ @9 J+ l5 Q& Z1 \7 o
因为没有哪个网站和你有这么大的恨。, j1 c# U$ ^% H* J! h, N; S& E! K6 d2 Q
解决方案:+ z) R! m; s: U; Y
全局-上传设置-论坛附件-帖子中显示图片附件-否
/ w9 s6 O& i$ l! Z9 V这样,就搞定了。6 v% `+ \% H0 X9 J0 ^
回复

使用道具 举报

沙发
发表于 2013-2-17 19:17:13 | 只看该作者
我在法客见过
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表