StartBBS v1.1.5存储型xss

2014-05-12T00:00:00
ID SSV:95655
Type seebug
Reporter Root
Modified 2014-05-12T00:00:00

Description

简要描述:

存储型xss。

详细说明:

用户资料修改处,可以填写用户网站。 一般填写url的地方容易出现xss,很多人忽略。 观察代码,app/controllers/settings.php 36行

$data = array( 'uid' => $uid, 'email' => strip_tags($this->input->post('email')), 'homepage' => prep_url(strip_tags($this->input->post('homepage'))), 'location' => strip_tags($this->input->post('location')), 'qq' => strip_tags($this->input->post('qq')), 'signature' => strip_tags($this->input->post('signature')), 'introduction' => strip_tags($this->input->post('introduction')) );

先调用strip_tags去除html标签,再调用prep_url处理。prep_url函数如下:

function prep_url($str = '') { if ($str == 'http://' OR $str == '') { return ''; } $url = parse_url($str); if ( ! $url OR ! isset($url['scheme'])) { $str = 'http://'.$str; } return $str; }

我们如果使用伪协议的xss,如<a href="javascript:alert(1)">aaa</a>,我们填入的url就是javascript:alert(1),不会被strip_tags过滤。 但这个函数看起来似乎在前面加了http://,实际上$url['scheme']是javascript,!isset()并不成立,所以没有进入下面那个if语句。 有了这些理论基础,所以我们就可以开始插了。

漏洞证明:

url在数据库中长度只有50,比较短。但因为StartBBS用了Jquery,所以可以调用Jquery的getScript方法来加载远程js:

<img src="https://images.seebug.org/upload/201405/11142326c9bce315572da022b1ec0e4b9581e8f3.jpg" alt="001.jpg" width="600" onerror="javascript:errimg(this);">

其他用户(甚至管理员)访问你的资料,并点击你的网址以后触发:

<img src="https://images.seebug.org/upload/201405/11142610d53cc210d02057b954915e52102aea11.jpg" alt="002.jpg" width="600" onerror="javascript:errimg(this);">

ps. 真的有这么傻的人会点这么奇怪的链接吗?那我就不知道了。。。 xss平台已经收到cookie:

<img src="https://images.seebug.org/upload/201405/111428387911560ce6ec3e0b5fa364aa2ddc5882.jpg" alt="003.jpg" width="600" onerror="javascript:errimg(this);">