骑士CMS存储型等XSS

基本字段

漏洞编号：: SSV-94088

披露/发现时间：: 2014-08-11

提交时间：: 2014-08-11

漏洞等级：

漏洞类别：: 其他类型

影响组件：: 74CMS

漏洞作者：: 随随意意

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-071574

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：你们防护做的挺好，我X的十分不容易，加上漏洞影响，自评16rank/*,*/ 走小厂商又只有1/4rank不如给20吧 —，— ### 详细说明： #1 先来个反射型xss 当开胃小菜地址：http://demo.74cms.com/jobs/jobs-list.php?key=%c0%22;eval(String.fromCharCode(97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41))// 影响：通杀全部浏览器详情：主页搜所后源码定位 [<img src="https://images.seebug.org/upload/201408/081431066176d866b6174e66422f94993c0865b6.jpg" alt="360截图20140808143058203.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/081431066176d866b6174e66422f94993c0865b6.jpg) 搜索框有一定的限制，直接在key输入想写的语句http://demo.74cms.com/jobs/jobs-list.php?key= 输入引号会闭合会被过滤为\"因为是gb系列编码，引号前面输入%c0把\杀死就ok了起初我以为;分号也被过滤，地址栏把分号换为换行符%0a同样执行。 [<img src="https://images.seebug.org/upload/201408/081500345fc5d96ae3e151aa2dfddabea8ab506c.jpg" alt="360截图20140807232923734.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/081500345fc5d96ae3e151aa2dfddabea8ab506c.jpg) #2 这里过滤严格，让我十分蛋疼地址：http://demo.74cms.com/train/train-agency-show.php?id=36 影响：所有版本IE（测试了6-8）详情： [<img src="https://images.seebug.org/upload/201408/08151814b9f7dba00f3e16720b4c274d3bcfa121.jpg" alt="360截图20140808150416656.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/08151814b9f7dba00f3e16720b4c274d3bcfa121.jpg) 机构名称出写入"style=a:expre/**/ssion(alert(1))就可以绕过过滤了。 [<img src="https://images.seebug.org/upload/201408/081520384626e929a6c2e2d565f666ab073cd30a.jpg" alt="360截图20140808150627843.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/081520384626e929a6c2e2d565f666ab073cd30a.jpg) 这是我们可控的地址，很不幸过滤的很完善，我测试时差点放弃，3种弹框全被杀，还有其他诡异情况。 [<img src="https://images.seebug.org/upload/201408/08152823676fd79d878aa57e35e065c957b3917f.jpg" alt="360截图20140808152204000.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/08152823676fd79d878aa57e35e065c957b3917f.jpg) 顺便说下，本来我想的是插入width和height加大图片面积，再插入个事件，后来准备利用eval，但是好像长度不够，但长度可以firebug或者抓包突破，应该可以通杀浏览器了，我现在太疲惫就不在测试了。 ### 漏洞证明：你们好好修复吧。 [<img src="https://images.seebug.org/upload/201408/0815364871c83d20e03ebad49b9d5e92b14bc47c.jpg" alt="360截图20140808145723671.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/0815364871c83d20e03ebad49b9d5e92b14bc47c.jpg)

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-071574

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

骑士CMS存储型等XSS

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定