一、漏洞描述

该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号),还有addslashes函数处理,但是没有对任何恶意关键字进行过滤,从而导致攻击者使用别的关键字进行攻击。

  • 漏洞复现

注意看url,具体我就不说了,把upload文件中的所有文件拷贝到根目录下然后访问../e/install/index.php

一直往下顺就行,注意数据库设置这里要先在phpstudy中创建一个数据库后再连接:

浏览器访问构造的payload,提示非法来源

Payload: http://127.0.0.1/empirecms/e/admin/openpage/AdminPage.php?mainfile=javascript:alert(/xss/)

访问后台界面发现存在一个ehash:

重新构造payload:成功触发

盗取cookie,利用成功:

  • 漏洞分析
  1. 漏洞出现的页面在/e/admin/openpage/AdminPage.php,浏览漏洞页面代码,发现使用hRepPostStr函数对leftfile、title、mainfile参数进行处理

2.跟进hRepPostStr函数(在"../../class/connect.php"中),发现htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号)

再使用CkPostStrChar函数对参数进行处理,查看使用CkPostStrChar函数的功能:

处理编码字符:

处理完毕后再使用了AddAddsData函数对参数进行处理。

3.跟进AddAddsData函数,分析代码:如果没有开启magic_quotes_gpc函数,就使用addslashes函数对参数中的特殊字符进行转义处理(函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。)

  1. 继续浏览代码,发现在网页输出时, $leftfile、$mainfile参数的输出位置是iframe标签的src里面,由于代码没有对别的恶意字符进行处理,此时可以构造javascript:alert(/xss/),iframe标签可以执行javascript代码,此时就会触发XSS代码。

帝国CMS(EmpireCMS) v7.5 后台XSS漏洞复现与原理分析相关推荐

  1. 帝国php漏洞,帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析

    帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 一.漏洞描述 该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单 ...

  2. 帝国CMS(EmpireCMS) v7.5 前台XSS漏洞复现

    一. 漏洞描述 该漏洞是由于JavaScript获取url的参数,没有经过任何过滤直接当作a标签和img标签的href属性和src属性输出 二. 漏洞复现 需要开启会员空间功能,登录后台开启会员空间功 ...

  3. 帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析

    帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析 一.漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输 ...

  4. 帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析

    帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析 一.漏洞描述 该漏洞是由于安装程序时没有对用户的输入做严格过滤,导致用户输入的可控参数被写入配置文件,造成任意代码执行漏洞. 二.漏洞复 ...

  5. (帝国CMS)EmpireCMS v7.5前台XSS 漏洞复现

    漏洞范围 EmpireCMS 全版本 <7.5 漏洞POC http://*******/e/ViewImg/index.html?url=javascript:alert(/xss/) 漏洞复 ...

  6. 帝国php被注入,帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462)

    帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 一.漏洞描述 EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞.该漏 ...

  7. android 动画 最顶层_【Android编程实战】StrandHogg漏洞复现及原理分析_Android系统上的维京海盗...

    0x00 StrandHogg漏洞详情 StrandHogg漏洞 CVE编号:暂无 [漏洞危害] 近日,Android平台上发现了一个高危漏洞 该漏洞允许攻击者冒充任意合法应用,诱导受害者授予恶意应用 ...

  8. 对先前的CLAY对百度知道进行的XSS漏洞的payload进行分析

    对先前的CLAY对百度知道进行的XSS漏洞的payload进行分析 前情详看我上一篇文章. 我跟进了一下CLAY组织上次的测试,发现那个人代号叫"马克思". 前段时间曝出了他先前测 ...

  9. Django debug page XSS漏洞(CVE-2017-12794)分析

    Django debug page XSS漏洞(CVE-2017-12794)分析 Django 简介 CVE-2017-12794漏洞分析 漏洞利用 Django 简介 基本介绍 Django 是一 ...

最新文章

  1. 打造无所不及的智能:徐直军发布华为AI战略及全栈全场景方案
  2. linux c dns查询IP地址
  3. [MetalKit]2-Using-MetalKit-part-1使用MetalKit1
  4. RotateAnimation 实现表盘指针转动
  5. c++ 取机器码_吉林c系列防倒灌风帽怎么卖,流线型通风器可定制
  6. 小猿圈Linux 之用户和用户组管理(二)
  7. java——springmvc——注册中央调度器
  8. ios 怎么判断字符串的字节数_如何用IOS判断字符串是不是纯数字
  9. L1-035 情人节 (15 分)—团体程序设计天梯赛
  10. 29.日志路由组件(2)
  11. 【系统分析师】考试内容大纲内容
  12. java 对象数据映射_SpringMVC中json数据映射为java对象的坑
  13. 发现的一点点QQ使用技巧
  14. Windows10 开机密码破解
  15. Java进阶篇 设计模式之十四 ----- 总结篇
  16. html火狐里面背景音乐不播放,各位大神有知道怎样在火狐浏览器上添加背景音乐的吗?...
  17. 大计基作业记录(3)
  18. python中class什么意思_python-classmethod在此代码中做什么?
  19. xlrd读取Excel数据
  20. 【Python深度学习之路】-3.2PR曲线

热门文章

  1. 经典 CNN 神经网络 LeNet-5 的 C++ 实现(MNIST数据集)
  2. 学会提问——批判性思维指南
  3. 浅聊WebRTC视频通话
  4. 2022高仿twitter社区推特PHP源码修复版
  5. 32个企业软件门类名称和释义
  6. WARNING:tensorflow:`add_update` `inputs` kwarg has been deprecated.
  7. 蚂蚁笔记(Leanote) ubuntu安装教程
  8. 干货 | 一文读懂数据分析
  9. 高德地图多marker聚合API
  10. python去除视频马赛克_python 给视频添加马赛克