有个用户登录页面 login.php blog导航栏里有个博客页面的链接,可是是灰色的无法点击也打不开 cookie有两个,PHPSESSID还有vip=0 cookie没有http only,有或许被xss到 这次挂马点比较荫蔽,通过重复查看后承认是运用论坛的缝隙刺进了挂马页面。
该缝隙是Discuz论坛针对ed2k协议解析时的一个XSS缝隙[2],在解析进程论坛会主动对e2dk链接中的文件巨细进行辨认并直接输出,而且未进行过滤,导致呈现了一个存储型XSS。
进犯者运用该缝隙刺进了歹意js脚本代码,调用document.write函数向页面中刺进挂马iframe页面和歹意js脚本。
接着处理呼应,在这个事例中我将它发送到日志记载,然后解析并保存灵敏信息:System Profiler用来获取一些体系信息,比方体系版别,Flash版别,浏览器版别等。
早在12年gainover便在乌云缝隙陈述渠道上给出了很好的实例:假如Server退出,Clinet还会存在rundll32.exe进程-wrw_tmout-individualnetworkI/Otimeout(10s)别的即便黑客无法篡改Referer值,这种办法也依然存在问题。