楼主: 90_

Discuz全版本存储型DOM XSS(可打管理员)

[复制链接]
  • TA的每日心情

    2024-11-13 20:06
  • 签到天数: 1628 天

    [LV.Master]伴坛终老

    发表于 2015-6-7 11:20:35 | 显示全部楼层 |阅读模式
    来自乌云。
    Discuz编辑器JS处理不当导致的存储型XSS。

    产生原因:
    JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。

    代码分析:
    这里用最新版本本地测payload为:
    [PHP] 纯文本查看 复制代码
    [align="onmouseover="alert(1)]

    官方论坛站点悄悄于2015-1-21改了代码,导致以上payload被过滤,不过用[email=2"onmouseover="alert(2)]2[/email]可绕过。
    [PHP] 纯文本查看 复制代码
    /forum.php?mod=post&action=edit&fid=xx&tid=xx&pid=xx&page=x

    070920106f1edb701fa557de37e5c040fd51bcb1.png
    070920540ed4ecc9cfa7567efeaafc6822566a52.png
    /static/js/common.js:
    070921032e3277f5095ff70e1a9b716d0cc59924.png
    070921121e982818d310aece6b5fcf6b2cc698e6.png
    /static/js/bbcode.js:
    07092154e451a55052c68a763c20620927b19ad1.png
    /static/js/editor.js
    0709220801a3fcad77d6220fe3d0c90dbf2ea907.png
    07092219f0332b5d1b560f9cd546071d4c0996ba.png
    调试流程:
    07092320b39e940855784f502cad864d4d7947f6.png
    07092332f29e0737ad1c7cdb737940974f827823.png
    07092340c050b63bf052c036ad6553504746e487.png
    07092358b74ae67f404822f4d9d16880666404e8.png
    07092405f34553413ff24d14f2c0fda5042727dd.png
    0709241415fe1a95598e5e5ec9e9343706294736.png
    07092349555fd381c029441d79fd9628df31ad7d.png
    07092424951c1c83ad7a9879620eb082ceb12e98.png
    07092432713559e1c2ad7d902ac1781fbd477035.png

    漏洞证明:
    发表帖子,编辑器内输入
    [PHP] 纯文本查看 复制代码
    [email=2"onmouseover="alert(2)]2[/email]
    ,支持的bbcode类型可在bbcode.js中查看。
    点击编辑时即可触发,由于是编辑器前端产生的问题,因此有权限编辑帖子的角色都会受到影响,包括版主,管理员。
    07092832e423bac343487d33be701c231d14dd43.png
    070928406463b48d6791972188f158b166bfc870.png
    07092848058fe917f27d7e96d6c560490c56c3dc.png

    评分

    参与人数 1i币 +5 收起 理由
    蓝颜 + 5

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情

    2015-10-9 09:10
  • 签到天数: 20 天

    [LV.4]偶尔看看III

    发表于 2015-6-8 09:47:31 | 显示全部楼层
    老大,这个漏洞如果想打别人cookies应该怎么写代码呢?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2021-1-25 21:16
  • 签到天数: 419 天

    [LV.9]以坛为家II

    发表于 2015-6-8 12:50:14 | 显示全部楼层
    是不是所有的dz3.2  都可以这么玩  我去试试
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-6-26 21:25:18 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 05:51:52 | 显示全部楼层
    加油!干倒冰儿和酒仙!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-6-21 22:12
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-6-27 06:47:46 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 14:34:24 | 显示全部楼层
    加油!干倒冰儿和酒仙!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 17:26:12 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 17:28:14 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 21:04:06 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-25 15:10 , Processed in 0.027329 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部