我的黑客生活
我的黑客生活
我是黑客吗?没有人给我回答 我还是学生.还要完成我的学业 注意: 本人可以回答问题 第一个免费,第二个免费,第三个收费,以后可以考虑打折!
临川一中不是人待的地方!!
博客信息
博主:DataBaseOwner 
栏目分类
最新文章
最新评论
标签列表
博客搜索
日志存档
·2009-1 ( 1 )
·2008-10 ( 4 )
·2008-7 ( 4 )
·2008-6 ( 5 )
·2008-5 ( 1 )
·2008-4 ( 3 )
·2008-2 ( 10 )
·2008-1 ( 53 )
友情链接
统计信息
访问:90498 次
今日访问:4次
日志: -161篇
评论: 29 个
留言: 9 个
建站时间: 2008-1-12
博客成员
DataBaseOwner 管 理 员
数字狼 管 理 员
最近访客



Discuz!/phpwind flash标签的xss
作者:DataBaseOwner 提交日期:2008-1-12 22:20:00 正常| 访问量:508

Discuz!/phpwind flash标签的xss


flash标签的xss在以前的是很流行的,以前只要随便一个调用外面的一个swf就ok了,现在的则都不可以直接使用调用外码的swf了,这个是因为一般都设置了allowScriptAccess[1][2].比如dz的codz:

dz60904\upload\forumdata\cache\cache_bbcodes.php [同样出现在cache_viewthread.php cache_post.php cache_blog.php里]

Quote:
00017: 0 => '\\1',
00018: 1 => '',
00019: 2 => '',


代码: allowScriptAccess设置为sameDomain,也就是说同一个域下的swf,如果我们可以upload一个swf就可以了 。不过dz默认是不容许swf后缀上传的,这里我们可以利用swf的一个特性,在html调用flash时,flash可以用任意后缀,哈哈我们可以用gif等上传[而且dz在图片上传是直接可以看到文件名的,但是其他的文件不性]。假如我们上传的flash文件为:

Quote:
attachments/month_0712/20071201_3565df327b79cfbb4b8eSeGHJthq7ZBB.jpg


另:在dz里upload的图片都用了getimagesize(),在手册了:

getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 标记中的 height/width 文本字符串包括了swf。

然后我们用flash标签:

Quote:
全屏欣赏



swf我用的as2代码:

Quote:
getURL("javascript:alert(document.domain)", "_self", "GET");


ok,我们的js运行了。

phpwind和Discuz!差不多一样,只是Discuz!默认不开[flash],phpwind默认开了。

如果dz没有开[flash],我们有没有办法利用呢?因为html代码我们可以远程自己写来调用,比如在a.com上写test.htm调用b.com[也就是目标上的flash:

Quote:
]


代码如下:

Quote:



xss

<body bgcolor="#ffffff">








</body>




不过经常测试得到的document.domain为a.com,而不是flash所在的b.com 。


#日志日期:2008-1-12 星期六(Saturday) 晴 送小红花 推荐指数:复制链接 举报


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:我的黑客生活
引用地址:


copyright blog.tianya.cn

© 天涯社区