产生原因:
JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。
代码分析:
这里有payload: [align="onmouseover="alert(1)], 那么就从payload开始往回看漏洞是怎么产生的
<textarea name='message' id='e_textarea' class='pt' rows='15' tabindex='2'>[align="onmouseover="alert(1)]</textarea>
回帖之后payload显示如上述所示, 跟进 管理员/版主 编辑帖子时的操作
var editorid = 'e';
var textobj = $(editorid + '_textarea');
这里得到textobj = 'e_textarea'
/static/js/common.js Line8:
function $(id){ return !id? null : document.getElementById(id); }
跟进textobj可以发现 $(textobj) 提出的payload
[align="onmouseover="alert(1)]
进入bbcode2html()
/static/js/bbcode.js Line 95:
str = str.replace(/\[align=([^\[\<]+?)\]/ig, '<div align="$1">');
这里将payload
[align="onmouseover="alert(1)]
转换成
<div align=""onmouseover="alert(1)"></div>
/static/js/editor.js Line 39:
writeEditorContents(isUndefined(initialtext) ? textobj.value : initiatext );
跟进writeEditorContents参数看下
/static/js/editor.js Line 558:
function writeEditorContents(text){
...
# 写操作函数, text被直接写入html文件中
...
}
到此为止外部代码已经被成功插入并保存到新生成的html中
以上就是整个xss形成的原因, 最重要的原因是将textobj.value直接提出来当做插入的内容了
这里就有一个问题 比方说有如下代码
<textarea id=test><img src=x></textarea>
<script>
str = document.getElementById('test').value;
document.write(str);
</script>
这里可以发现写入了一个img标签 尖括号< 和 > 被反转义回<和>了 dz的这个xss就是没有处理反转义回来的尖括号造成了这个位置的xss
乌云案例: 参考链接
等 24 兑换了
共 4 兑换
无
升级discuz版本
无
匿名 参与了评论
匿名 兑换PoC
匿名 兑换漏洞详情
DOTdot 兑换漏洞详情
匿名 兑换漏洞详情
匿名 兑换漏洞详情
Maliciouskr 兑换漏洞详情
匿名 兑换漏洞详情
酱油帝 兑换漏洞详情
felyezzj 兑换漏洞详情
匿名 兑换漏洞详情
匿名 兑换漏洞详情
尧之 兑换漏洞详情
匿名 兑换PoC
匿名 兑换漏洞详情
匿名 兑换漏洞详情
l0wk3y 兑换漏洞详情
erevus 兑换漏洞详情
lightning1141 兑换漏洞详情
匿名 兑换PoC
jax777 关注了该漏洞
jax777 兑换漏洞详情
annabelle 兑换漏洞详情
0x153 兑换漏洞详情
名匿 兑换漏洞详情
尧之 关注了该漏洞
Medici.Yan 兑换漏洞详情
Mr.Robot 兑换漏洞详情
yql丶 兑换漏洞详情
Ventus 关注了该漏洞
匿名 参与了评论
lightning1141 参与了评论
Ventus 参与了评论
lightning1141 参与了评论
oo 参与了评论
oo 关注了该漏洞
oo 参与了评论
匿名 兑换PoC
※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负
续费请拨打客服热线,感谢您一直支持 Seebug!
京公网安备 11010502034610号
全部评论 (6)