Discuz 排行页面存储型XSS漏洞 分析

栏目: 编程工具 · 发布时间: 6年前

内容简介:2018年10月12日,某CMS官方修复了一处XSS漏洞:source/module/misc/misc_ranklist.php:166

2018年10月12日,某CMS官方修复了一处XSS漏洞:

Discuz 排行页面存储型XSS漏洞 分析

简要分析

source/module/misc/misc_ranklist.php:166

<?php 

function getranklist_members($offset = 0, $limit = 20) {
    require_once libfile('function/forum');
    $members = array();
    $topusers = C::t('home_show')->fetch_all_by_unitprice($offset, $limit, true);

    foreach($topusers as $member) {
        $member['avatar'] = avatar($member['uid'], 'small');
        $member['note'] = dhtmlspecialchars($member['note']);
        $members[] = $member;
    }
    return $members;
}

Dz在此处获取到 $member['note'] 后调用了 dhtmlspecialchars 进行过滤,在source/function/function_core.php:203 会对'&', '"', '<', '>'进行实体编码。

<?php 

function dhtmlspecialchars($string, $flags = null) {
    if(is_array($string)) {
        。。。
    } else {
        if($flags === null) {
            $string = str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string);

        } else {
            。。。
    }
    return $string;
}

getranklist_members 返回后 source/include/misc/misc_ranklist_index.php:113

<?php 
。。。
if($ranklist_setting['member']['available']) {
    $memberlist = getranklist_members(0, 27);
}
。。。
include template('diy:ranklist/ranklist');

进行模板的渲染在 data/template/1_diy_ranklist_ranklist.tpl.php:32

<?php if($memberlist) { ?>
<a href="home.php?mod=space&uid=<?php echo $memberlist['0']['uid'];?>&do=profile" target="_blank" id="bid_<?php echo $memberlist['0']['uid'];?>" class="hm" <?php if($memberlist['0']['note']) { ?> onmouseover="showTip(trhis)" tip="<?php echo $memberlist['0']['username'];?>: <?php echo $memberlist['0']['note'];?>"<?php } ?>><?php echo avatar($memberlist[0][uid],middle);?></a>
<?php } ?>

可以看到在 tip 属性中输出了 $memberlist['0']['note'] 。在之前有一个 onmouseover 事件,跟入 showTip(trhis) 在 static/js/common.js:1062

function showTip(ctrlobj) {
    $F('_showTip', arguments);
}

跟入 _showTip ,在 static/js/common_extra.js:912

function _showTip(ctrlobj) {
    if(!ctrlobj.id) {
        ctrlobj.id = 'tip_' + Math.random();
    }
    menuid = ctrlobj.id + '_menu';
    if(!$(menuid)) {
        var div = document.createElement('div');
        div.id = ctrlobj.id + '_menu';
        div.className = 'tip tip_4';
        div.style.display = 'none';
        div.innerHTML = '<div class="tip_horn"></div><div class="tip_c">' + ctrlobj.getAttribute('tip') + '</div>';
        $('append_parent').appendChild(div);
    }
    $(ctrlobj.id).onmouseout = function () { hideMenu('', 'prompt'); };
    showMenu({'mtype':'prompt','ctrlid':ctrlobj.id,'pos':'12!','duration':2,'zindex':JSMENU['zIndex']['prompt']});
}

通过 ctrlobj.getAttribute('tip') 获取tip属性的值,由于 getAttribute 获取的内容会自动反转义,即前面在 dhtmlspecialchars 编码过的内容又被解码了一次。此后拼接到div标签的 innerHTML 中,最后输出到页面上造成了xss

关于 getAttribute ,可以用下面代码测试:

<html>
<div name="<a>" id="div">test</div>
<script>
div1 = document.getElementById("div");
align = div1.getAttribute("name");

alert(align); 
</script>

漏洞复现

该CMS中,排行榜功能是默认开启的。在地址 http://127.0.0.1/misc.php?mod=ranklist&type=member 的上榜宣言中输入payload(拒绝伸手党)

Discuz 排行页面存储型XSS漏洞 分析

http://127.0.0.1/misc.php?mod=ranklist 当鼠标移动到头像上触发 onmouseover 事件,执行xss

Discuz 排行页面存储型XSS漏洞 分析

修复方案

Discuz 排行页面存储型XSS漏洞 分析

多增加一次 dhtmlspecialchars


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

疯狂Java讲义(第4版)

疯狂Java讲义(第4版)

李刚 / 电子工业出版社 / 2018-1 / 109

《疯狂Java讲义(第4版)》是《疯狂Java讲义》的第4版,第4版保持了前3版系统、全面、讲解浅显、细致的特性,全面新增介绍了Java 9的新特性。 《疯狂Java讲义(第4版)》深入介绍了Java编程的相关方面,《疯狂Java讲义(第4版)》内容覆盖了Java的基本语法结构、Java的面向对象特征、Java集合框架体系、Java泛型、异常处理、Java GUI编程、JDBC数据库编程、J......一起来看看 《疯狂Java讲义(第4版)》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

SHA 加密
SHA 加密

SHA 加密工具