帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析

一、漏洞描述

该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号),还有addslashes函数处理,但是没有对任何恶意关键字进行过滤,从而导致攻击者使用别的关键字进行攻击。

二、漏洞复现

1、漏洞出现的页面在/e/admin/openpage/AdminPage.php,浏览漏洞页面代码,发现使用hRepPostStr函数对leftfile、title、mainfile参数进行处理

d921a0c6a8985812dfd0378376275fa2.png

2、跟进hRepPostStr函数,发现htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号)

6b5d0b70c148dfc2c9d6e26f5366f317.png

3、继续浏览代码,发现使用CkPostStrChar函数对参数进行处理

648c2aedf78296d35965055e6ec02170.png

4、跟进CkPostStrChar函数,处理编码字符

0d25d60a7b6d2814afb8eb9644344e99.png

5、继续浏览代码,发现又使用了AddAddsData函数对参数进行处理

cc2de1fad3d87ff200cd131273e59f79.png

6、跟进AddAddsData函数,分析代码:如果没有开启magic_quotes_gpc函数,就使用addslashes函数对参数中的特殊字符进行转义处理

b950eadaa4c9cdac60626e98ffbd7cac.png

7、继续浏览代码,发现在网页输出时, $leftfile、$mainfile参数的输出位置是iframe标签的src里面,由于代码没有对别的恶意字符进行处理,此时可以构造javascript:alert(/xss/),iframe标签可以执行javascript代码,此时就会触发XSS代码。

94ecbee7e4cbc4eb4e731697c5297c6f.png

8、浏览器访问构造的payload,提示非法来源

Payload: http://192.168.10.171/empirecms/e/admin/openpage/AdminPage.php?mainfile=javascript:alert(/xss/)

631a7517b6d627901113c0d7c9294ff3.png

9、此时发现别的页面url地址中都会存在hash参数,例如ehash_f9Tj7=ZMhwowHjtSwqyRuiOylK,这个参数是随机生成的,如果缺少这个参数,会提示非法来源

1c8c73397a83d416435846ad47c943a5.png

10、再次构造payload,浏览器访问,成功触发XSS

Payload: http://192.168.10.171/empirecms/e/admin/openpage/AdminPage.php?ehash_f9Tj7=ZMhwowHjtSwqyRuiOylK&mainfile=javascript:alert(/xss/)

80fefbf20b48e77c9698d186fccfc959.png

11、通过XSS漏洞获取cookie

http://192.168.10.171/empirecms/e/admin/openpage/AdminPage.php?ehash_f9Tj7=ZMhwowHjtSwqyRuiOylK&mainfile=javascript:alert(document.cookie)

6670fd4aea390179b218d9d3b27f6c4f.png

-----------------------------------------------------------------------------

参考: https://www.freebuf.com/vuls/176313.html

原文出处:https://www.cnblogs.com/yuzly/p/11369851.html

原文链接:https://blog.csdn.net/weixin_33173924/article/details/115945661?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166669233216800186559431%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=166669233216800186559431&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-20-115945661-null-null.nonecase&utm_term=%E5%B8%9D%E5%9B%BDcms

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注