某cms两处全站xss漏洞

admin 2022年5月18日02:01:42评论102 views字数 1888阅读6分17秒阅读模式

1. 前言

在cnvd上看到有人爆了 这款cms的几个sql注入,本想着下载下来复现一下,也算是学习下代码审计,然后下载最新版的发现基本已经被修复了,然后想着能不能找到新的漏洞,最后也就以两处惨淡的xss漏洞收场,大佬勿喷

2.前台反射型xss漏洞

首先给出payload

http://127.0.0.1:81/index.php?a=login&c=member&m=%3Cimg%20src=1%20onerror=alert(1)%3E


某cms两处全站xss漏洞

从输出形式上来看是没有找到该文件,错误回显导致的问题
首先定位到代码位置 /core/lib/application.class.php文件中的load_controller函数


某cms两处全站xss漏洞

看到ROUTE_C ROUTE_M 全局搜索,定位到/core/func/basic.fun.php,可以看到传进来的 $var["m"] = ROUTE_M; $var["c"] = ROUTE_C; $var["a"] = ROUTE_A

某cms两处全站xss漏洞


综上可以看出对通过url传进来的 $m和$filename进行了拼接然后然后去寻找是否存在该路径,并没有对输入的$m和$filename进行过滤直接输出了。

3.后台反射xss漏洞

和前台反射xss类似,只是换了一个调用的函数而已
定位到函数位置:/core/lib/YUNYECMSAdmin.class.php

某cms两处全站xss漏洞


可以看到是直接拼接了ROUTE_C,也就是url传进来的c参数,这个反射型的xss不论是前台还是后台都是由于直接拼接了url传进来的参数导致的xss

某cms两处全站xss漏洞

4.前台留言处xss漏洞

url: http://127.0.0.1:81/index.php?a=customform&catid=12

前台增加留言处

某cms两处全站xss漏洞


XSS payload  <marquee onstart=prompt(1)><marquee>
触发cookie <input onfocus=prompt(document[`coo`+`kie`])>


此前一直想尝试在xss平台上获取cookie,但是由于过滤了//导致一直没有成功,附上一个不成功的payload,有大佬可以获取cookie,还请不吝赐教
<input onfocus=document.body.appendChild(document[`cr`+`eateElement`](`scr`+`ipt`)).src=http://127.0.0.1`>

首先抓包定位到函数位置为coreappcontentindex.php中的formadd()函数,可以看到对传进来的参数都使用了usafestr()函数某cms两处全站xss漏洞

在/core/func/core.fun.php定义了该函数 然后跟进到usafestr函数,然后看到过滤了一堆东西

某cms两处全站xss漏洞


在coreextendclassessafestring.php中的过滤规则



某cms两处全站xss漏洞


然后可以看到过滤了很多东西,很高大上,结合模糊测试和白盒审计找到几个没有过滤的可以用来触发xss的,发现基本过滤了onerror alert onmouseover等危险字符,onfocus onstart 可以用

某cms两处全站xss漏洞


在搜集的xss payload里寻找,找到一个可用的payload

<marquee onstart=prompt(1)><marquee>

在后台可以看下payload形式,是绕过了xss过滤的


某cms两处全站xss漏洞


触发点在点击删除的时候的确认提醒处

某cms两处全站xss漏洞

然后在F12查看源代码



某cms两处全站xss漏洞


5.后台xss漏洞

后台的可触发XSS比较鸡肋,但是如果只是拥有了一个低权限的账户,同时具有写留言的功能,能获取到高权限的cookie,这样就不显的那么鸡肋了
还是以后台的留言处为例

url:http://127.0.0.1:81/admin.php?c=content&a=customform_add&usv_ixIW=egksuBNTW6

跟进到coreadmincontent.php函数中的customform_add() 函数,只对传入进来的catid进行了usafestr过滤,并没有对其他进行过滤,然后payload可以随便写


某cms两处全站xss漏洞



某cms两处全站xss漏洞



来源:先知(https://xz.aliyun.com/t/7381)

注:如有侵权请联系删除



某cms两处全站xss漏洞


船山院士网络安全团队长期招募学员,零基础上课,终生学习,知识更新,学习不停!包就业,护网,实习,加入团队,外包项目等机会,月薪10K起步,互相信任是前提,一起努力是必须,成就高薪是目标!相信我们的努力你可以看到!想学习的学员,加下面小浪队长的微信咨询!


某cms两处全站xss漏洞

欢迎大家加群一起讨论学习和交流

某cms两处全站xss漏洞

快乐要懂得分享,

才能加倍的快乐。

原文始发于微信公众号(衡阳信安):某cms两处全站xss漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月18日02:01:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某cms两处全站xss漏洞https://cn-sec.com/archives/1015979.html

发表评论

匿名网友 填写信息