跨站跨到了主页里,解析云网论坛最新漏洞(图)_安全中国

然后在标题跟投票选项那里输入<script>alert("跨站测试")</script> 然后点发送
当返回的时候我们只要点击查看投票就发生了跨站这样一样可以用来欺骗管理员
如图6

但是另我想不到的是这个投票跨站竟然跨到了主页里原来我们发起投票知道我们的跨站代码直接插入了数据库里。
这样我们一访问http://www.xxxxxxx.cn/ 站点的主页就会弹出我们的跨站测试对话框
如图7

跨站竟然跨到了主页了简直是不可思意如果我们将跨站代码换成我们的挂马代码试试
如图8

简直不可思意成功的在主页里显示出了百度这样我们即使拿不到WEBSHELL 也不要管理员权限
只要注册一个普通用户就可以随意在主页挂马

看来管理员真的太疏忽了。后来我又仔细看了一下代码。发现作者没有过滤语句就插入到了数据库
而且直接就在首页进行显示... 跨站竟然跨到主页。汗了。第一次遇见这个页面的文件代码太多了我就不做解释了有兴趣的朋友可以
自己去下套云网论坛来瞧瞧

另外一个地方能跨站的就是博客那里。想必到了现在我也就不用再去写了没意义了主页都能挂马还什么不能呢？？
在创建博客的时候我们要写入配置信息。一样我们写入跨站代码。这里依然是没有限制的。
如图9

这样不管是任何人访问我们的博客或者查看文章都会发生跨站。一样我们要是挂马的话。。嘿嘿

另外这套程序还有一个致命的上传漏洞。我会在下次的文章里给大家发出来。我们知道上传漏洞是直接可以拿到SHELL 而JSP马默认的就是
root权限也就是说我们拿到了SHELL也就相当于拿到了服务器至于注射漏洞。我是没看出来
作者对参数都进行了强制转换
一个getint()函数将所有数字型都给杜绝了不过还有字符型本人菜鸟实在看不出来怎么突破比如在注册用户的那里
代码如下
<%
String op = ParamUtil.get(request, "op");
if (op.equals("chkRegName")) {
boolean re = false;
try{
String regName = ParamUtil.get(request, "RegName");
re = userservice.isRegNameExist(request, regName);
}
catch(cn.js.fan.util.ErrMsgException e) {
out.print(e.getMessage());
%>
<script>
window.parent.showCheckResult("span_RegName", "<%=e.getMessage()%>");
</script>
<% return;
}
if (!re) {
%>
可以看到我们输入的数据并没有经过过滤就进行了查询但是具体的因为作者用javabean给封包了所以看不到查询内容
这个漏洞曾云好大哥也提到过说是比较的鸡肋但是我觉的这里算是唯一的突破点了。我也在测试争取下次跟上传漏洞一块发出来
论坛后台能拿SHELL的方法很多最简单的就是添加一个JSP的上传类型直接over

上一页 1 2