Discuz xss利用(可通过xss劫持发帖,置顶帖子等)

貌似zone里面有个discuz 如何post 发帖的帖子 www.wooyun.org/bugs/wooyun-2010-015312正好看到个dz xss案例 就研究了下
熟悉discuz的都知道,formhash是一种类似验证码的东西，用来防止从我们网站外部提交数据，但不需要我们手动输入,它在页面打开时就已经生成了，存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。
我们来看看这货的生成算法

时间戳前3位,大概是 100多天的样子,也就是说这货对于同一人来说 100 天内是不变的.
即可简单获取目标的formhash(算法比较傻逼=.=)

接下来的事情就简单了 只要抓取各种包 加上formhash 即可中出

例如 (使用了一个兼容的ajax库 详见附件)
劫持发帖

置顶帖子

演示视频:http://v.youku.com/v_show/id_XNDg0NDg2MjU2.html
高清无码:http://pan.baidu.com/share/link?shareid=136314&uk=587894688
附件下载:http://yaseng.me/wp-content/uploads/2012/12/Csrf-hijacking-admin-demo.rar

ps1:zone里面可能排版不太好 有性趣下载附件吧
ps2:其余动作读者可以抓包自行测试之
ps3:如果管理员同时登陆了后台还可以权限提升或者直接getshell
link:http://zone.wooyun.org/content/1841
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。