九某草 X站cms 渗透篇「建议收藏」

这一套源码与网上那些X站cms都是一致，那么在奇安信社区上看到了这款，那么也来玩玩，这一套源码的话基本的都是存在后台提权、存储xss、反射XSS、弱口令（至于弱口令这块一般安装后直接使用admin、admin或者某cms名称直接进行登录，那么我们登录进行也是直接忽略过爆破这一段）

1、储存XSS 广告设置这块基本都存在储存xss。 利用：将广告图片的URL/…/…/…/<XSS语句>

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

可以看到，在广告这块储存也是没有做任何一个过滤的，直接触发弹窗。

2、反射XSS

在这里插入图片描述

看源码我发现了echo输出存在可控变量，; echo safeRequest($_GET['Play']);?>';

在这里插入图片描述

Get Play？那么直接使用Play构造一个payloda

http://192.168.22.1/Static/Home/VideoJS/index.php?Play=

在这里插入图片描述

发现没有弹窗，那么审查元素，在底部 xss语句使用了:"+alert('XSS')+", 那么在元素源码那看到了+ < >号基本被过滤掉了

在这里插入图片描述

为了找到过滤的源码，在站的根目录发现了一个index.php的文件

在这里插入图片描述

并且找到引入辅助行数文件，Helper.php，可以知道我们刚才尝试的时候没有弹窗的原因就在这里。下面的图，我已经把函数注释写出来了。

在这里插入图片描述

所以我将去除带有威胁性的符号：';alert(1);'，那么这块开始我也是没有头像看了这编文章的第3段内容，才反应过来：https://forum.butian.net/share/1160

在这里插入图片描述

在这里插入图片描述

3.Php代码执行 路径位置:Home/Basic/Statistics

<?php

if (isset($_POST['submit']) && isset($_POST['Statistics'])) { 
   
$file = fopen("../JCSQL/Admin/Basic/AdminStatistics.php","w");
 fwrite($file,$_POST['Statistics']);
fclose($file);
?>
<script language="javascript"> 
<!-- 

fwrite($file,$_POST['Statistics']); //值得注意的一段代码

在这里插入图片描述

在这里插入图片描述

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/180248.html原文链接：https://javaforall.cn