汇文OPAC全版本通杀越权操作和存储xss下载

来源：黑吧安全网　浏览：3189次　时间：2014-04-30

本来想留着再做进一步深入挖掘，可是今天居然看到一个“路人甲”发了汇文的盲注，那就先发了吧，此次测试v4.0版本测试对象为南京审计学院图书馆，v5.0版本为中国石油大学图书馆以及某学校v4.0的图书馆终端

首先是越权：

评论处：

1、删除任何人的评论（不需要登陆，游客身份也可以做到）

以下是用v4.0做的测试

http://www.myhack58.com/opac/book_review_del.php?marc_no=书籍编号&certId=证件号(一般为学号或者身份证号)

ps:什么？书籍的编号是打开图书的url后面的几个位数你知道，但不知道证件号怎么办！右键源码告诉你，证件编号统统泄露，而这个编号恰恰可以当做用户名登陆，而初始密码大都是学号或者身份证号的几位位数或者123456.屡试不爽全部版本都涉及到了对读者账号信息的泄露，甚至可以以此收集身份证号和学生证号，这个问题的发现源自在后台删除自己评论时发现了这个规律，只要将书籍号和证件号稍作修改就是了，其他版本也只需要在评论管理处查看以下功能连接，稍作修改就是了。

2、删除任何人的任意书架

只需要在我的书架管理处，在源码中找到“删除”按钮处，将代码改为你想要删除的书架的ID，然后按下删除按钮提交后，你要删除的书架以及里面的藏书全部荡然无存（这个有点损，在测试的时候失手删了一个学霸的书架“本学期要借的书”，里面足足放了104本书，我对不起他啊。。。）

还可以删除任意书架里的书

打开一个自己已经创建的书架，里面一定要有已经添加的一本书，然后再源码处将

delbook('书架号','书号')

改好后点击删除，想不让谁收藏这本书都可以

而每本书被哪个书架收藏了，早该书页面的右边栏也有显示，非常轻松，还可以用上面的方法继续查看书架属于哪个ID，这样平时谁看什么样的书这种隐私也会被泄露

书架功能只对4.0做了测试，因为大多数5.0都是近期才上线使用，而书架功能大都需要账号，所以无法测试到。

3、对书评的认可，无上限评论，刷爆你的认可度

直接附上代码，只需要在你想要刷认可的书籍页面地址栏放上这个代码，随便刷，无限制，也不需要登陆

v4.0代码（测试版本为v4.0普通版和v4.0工作组版）

  javascript:_replyReview('书号','证件号','support');   认可

  javascript:_replyReview('书号','证件号','against');   不认可



  v5.0代码（测试版本为OPAC v5.0.1 ）

  javascript:_replyReview('书号','学号','评论时间','support');  认可  （这里要注意的是增加的这个评论时间，我测试的这个评论的评论时间是这样的格式，'2011-12-08+22%3A08%3A09',后面的22%3A08%3A09只需要UrlEncode解码就可以得到22:08:09，当然你完全可以在评论者的名字旁边看到发布时间，只需要按照这个格式做一下UrlEncode编码即可，估计在v5.0的删除评论的功能上这个新添加的编码过的时间戳也被用到了）

  javascript:_replyReview('书号','学号','评论时间','against');  不认可

而这个问题的利用就在于当认可度被刷高后，该图书会被想应的放到推荐页面，会有更多的读者来访问，为后面的蠕虫传播做好准备。

4.0版本可以不停的执行，支持数也会很直接的跟随显示，v5.0也可以不停的执行，只是第一次执行后会显示“谢谢参与”，不过你执行几次后再刷新，评论处照样显示你刷票的增加次数

存储xss

这个是个小重点1、评论处没有任何的限制，放什么都可以，何况那些越权大都不需要登陆，暴漫帝小川哥哥说，越权加存储是最好滴搭档，结合前面的越权用存储来触发别人我的认可数，才一天多认可值就增加到了65

2、添加的书架类别名和说明出不论放<script>alert(1)</script>还是alert(1)都可以执行，而放上alert(document.cookie)就更奇葩了，你每刷新一下，就产生一个新的同名书架，而如上所说，你讲一本书收藏在一个书架中后，该书页面的右边栏会显示，那么每当有人打开这个书籍的页面时这个恶意的“书架名”脚本就会被触发，而被书架收藏多的书也会被推荐到首页的推荐图书中，这个脚本要先于评论处的脚本触发。

其实这个利用起来很方便，添加好xss代码后，只需要将书目塞满这个书架就好了，只要有人查看这个书目就会中招，因为在该书目页面的右边有一个“收藏该书的书架”会显示我的书架并触发，下图是我在图书馆的终端查看的，浏览便可触发