快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

代码审计 | Empire CMS v7.5后台XSS漏洞

*

概述

由于近来渗透排泄测试客户网站碰着了使用这个CMS的站点,因而就去官方下载了这个CMS审计看看,有一处代码的过滤方式并不严格,用的是htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号以及单引号),还有addslashes处理,然则没有对任何恶意症结字进行过滤,如许过滤对某些输出场景来说,已是无比的宽松了。

ps:第一次审计,过程简单明晰,WEB黑客,而且很好理解

相干环境

源码信息:EmpireCMS_7.5_SC_UTF8

漏洞类型:反射型XSS

下载地址:http://www.phome.net/download/

漏洞文件:e/admin/openpage/AdminPage.php

漏洞阐发

①.例如这个地址是商城体系治理的关上地址,并且其中mainfile以及leftfile参数存在XSS漏洞

http://192.168.2.167/ecms75/e/admin/openpage/AdminPage.php?leftfile=..%2FShopSys%2Fpageleft.php%3Fehash_oE1Wa%3D2J9djPgtUYfniKn5Trpp&mainfile=..%2Fother%2FOtherMain.php%3Fehash_oE1Wa%3D2J9djPgtUYfniKn5Trpp&title=%E5%95%86%E5%9F%8E%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86&ehash_oE1Wa=2J9djPgtUYfniKn5Trpp

Clipboard Image.png

②.查看代码,最先就是hRepPostStr函数进行过滤,首要对字符进行addslashes以及htmlspecialchars处理

Clipboard Image.png

Clipboard Image.png③.以后又判定了://,意思是不允许http或者https

Clipboard Image.png

④.最后就是网页输出了,然则输出的地位是iframe标签的src内里,可以通过输入javascript:alert(document.cookie)触发XSS代码,意思就是上面那些过滤没什么用

Clipboard Image.png

Clipboard Image.png

行使要领

①.由于url地址存在hash参数,例如ehash_oE1Wa=2J9djPgtUYfniKn5Trpp,这个参数是随机生成的,要是缺少这个参数,会提示非法来源

Clipboard Image.png

②.用PHP举例,PHP可以通过$_SERVER['HTTP_REFERER']获取点击来源,如许就获取了hash参数,然后组成XSS地址

Clipboard Image.png

Clipboard Image.png

③.最后重定向到XSS地址就可以触发了

111.png

222222.png

④.动态图测试结果,治理员觉得添加的是友情连接http://192.168.2.167:81/是正常地址,然则实际从后台关上是XSS地址

2222222.gif

总结

1.概括内容就是,商城体系治理是用iframe加载页面,然则过滤不严格导致出现XSS,行使的时辰,hash参数可以通过从后台点击,从$_SERVER['HTTP_REFERER']获取

2.行使成功只需两个前提,后台显示外部超链接之处,并且治理员点击就行,所以局限照样有一点的

*

您可能还会对下面的文章感兴趣: