首页 » NetworkSec » Penetration » 正文

(转)Discuz 全版本存储 XSS 分析

本文转载自:http://rickgray.me/2015/07/31/discuz-all-version-stored-xss-analysis.html?utm_source=tuicool&utm_medium=referral


乌云上有人发了《Discuz全版本存储型DOM XSS(可打管理员)附Discuz官方开发4大坑&验证脚本》,借此文顺带练习了一下 JS 调试,下面是整个漏洞的分析。

Discuz在用户评论处设置了帖子管理员编辑评论的功能,由于前端JS代码处理不当导致了经过恶意构造的评论内容在经过交互后形成XSS。下面通过payload的调试过程来解释该漏洞的形成过程。

首先,在评论处提交评论内容:2

由于服务器对引号等有过滤,所以提交后,查看源码会发现引号已经被实体编码了。

对于普通用户提交的评论,管理员或者版主都有权利对其发表的评论进行管理。

当管理或版主对用户的评论点击管理时,前端JS代码就开始处理,弹出一个编辑框供管理或版主操作。在JS代码处理的过程中,首先获取用户评论的内容,代码位于当前页面中:

$() 函数原型位于 /static/js/common.js 中:

使用了原生的 document.getElementById() 函数来获取页面中的对应对象,此处获取的是标有id=”e_textarea”的对象,其对应的值为用户评论的内容。

而由于JS原生函数的原因,被服务器后端转义的引号会被重新是渲染回引号:

获取到id=”e_textarea”对象后,代码对浏览器进行了判断,并将结果赋值给变量 var wysiwyg

在页面上另一处JS代码判断了变量wysiwyg的值,然后开始渲染编辑框:

这里使用了Firfox浏览器进行测试,在前面wysiwyg变量的值为1,所以会执行如下代码

newEditor(1, bbcode2html(textobj.value))

其中textobj.value的值为:2(经过document.getElementById()获取的对象解析了实体编码)

在进行newEditor()时,会对传入的内容使用函数bbcode2html()进行编码过滤,其函数原型位于/static/js/bbcode.js,下面是Discuz对程序所支持的shortcode进行处理的部分代码。

程序匹配其支持的shortcode然后正则替换为相应的前端格式代码,因此次测试的payload为2,因此图中红色标注的代码会得到执行。

str = str.replace(/\[email=(.[^\[]*)\](.*?)\[\/email\]/ig, '<a href="mailto:$1" target="_blank">$2</a>');

经过正则匹配替换后,str的值会变为:<a href="mailto:2"onmouseover="alert(2)" target="_blank">2</a>

最终bbcode2html()函数会返回经过转换后的textobj.value,值为:<a href="mailto:2"onmouseover="alert(2)" target="_blank">2</a>

然后调用newEditor()函数进编辑框的渲染,其函数原型位于/static/js/editor.js

从函数原型可以看到,代码再次判断浏览器类型然后开始渲染,由于wysiwyq变量的值为1,最终会执行

writeEditorContents(isUndefined(initialtext) ? textobj.value: initialtext);

而调用newEditor()函数时,传递了initialtext参数,其值就为经过bbcode2html()函数处理后的textobj.value的值。

前端JS最终使用writeEditorContents()函数对页面进行渲染,其过程中会将initialtext变量的值直接写入到页面中,最终形成XSS。

渲染成功后,查看页面源代码:

当管理员或者版主对其进行交互时就会触发alert(2)。

即使后段服务器对输入内容进行了过滤和转义,但是在前段渲染的时候依然有可能形成 XSS。


=========================================================================

LSA刚接触js调试,按上面的步骤用discuz x3.2重现了一下bug,网上说有两个payload可以用([eemail=2" onmouseover="alert(2)]2[/eemail]或[align=” onmouseover=”alert(1)])LSA用第一个进行测试,的确可行,附上效果图(第一个payload被直接解析了所以打多个e避免被解析)

没按编辑之前:(引号经过了实体编码)

按了编辑之后:(引号经过js原生函数getElementByid()的调用又渲染为引号,引发xss)

bug重现:

discuz和struts2都可以说是漏洞王了,人怕出名猪怕壮,有名自然多人搞,不过正因为如此,产品才能不断完善。

(这漏洞两年前的了,看到ichunqiu上有就测试下,本人对于js调试还是懵逼状态……)

Comment