PHPWIND & DISCUZ! CSRF漏洞影響版本:
Discuz! 6.0.0 & 6.1.0 & 7.0.0
PHPWIND 6.0 & 6.3 & 7.0
漏洞描述:
PHPWIND & DISCUZ!存在CSRF漏洞，引發(fā)PHPWIND & DISCUZ! CSRF WORM!
http://groups.google.com/group/p ... d/b31e4d2e6270c384#
<*參考
http://groups.google.com/group/p ... d/b31e4d2e6270c384#
*>
安全建議:
DISCUZ刪除templates/default/header.htm 里面的 $seohead就可以了。
暫無，等待官方補丁。
測試方法:
本站提供程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,風險自負!http://hk.chinakernel.org/worm.tar.gz

ring牛利用Discuz.net 域名服務商的漏洞，劫持了Custom.discuz.net這個域名，將這個域名解析到自己構造的一個假站點上。而在這個假站點上存放了exp攻擊代碼，主要文件為news.php。這里說明一下，discuz后臺有一個通知功能用來通知站長修補漏洞等，該方式應該是在論壇后臺script包含了http://custom.discuz.net/news.php。域名劫持之后就在后臺包含了ring構造的這個news.php，分析news.php里包含了兩個js文件，其中dz.js用于使用ajax模擬站長提交修改seo設置的表單。dz.stats.js則iframe了dz_stats.php文件用于記錄中招了的論壇地址,只要站長登陸后臺就會中招.

修改后的seo設置里包含了一段js代碼<script>function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init;</script>,而在論壇前臺頁面里會直接調(diào)用seo的設置。所以直接將這段js在前臺的頁面中執(zhí)行了.

測試環(huán)境：centos5.1 apache2.2 php5.2 mysql5.0 discuz6.0
首先偽造customer.discuz.net
在apache里面配置虛擬主機如下：
NameVirtualHost 192.168.25.100:80
<VirtualHost 192.168.25.100>
ServerName customer.discuz.net
DocumentRoot /usr/local/apache/htdocs/worm
</VirtualHost>
<VirtualHost 192.168.25.100>
ServerName www.test.com
DocumentRoot /usr/local/apache/htdocs/discuz/upload
</VirtualHost>

/usr/local/apache/htdocs/discuz/upload為discuz程序地址。
/usr/local/apache/htdocs/worm 為exp存放地址

本地host里面customer.discuz.net和www.test.com改為192.168.25.100
訪問www.test.com 登陸后臺，成功被改