### 简要描述:
RT
### 详细说明:
看着大家都在挖注入,发现官网的测试站点也开始变态了,单引号都直接纳入非法注入检测。
于是无奈之下就,看看都加都不关注的xss,防注入做得确实不错,但是这个跨站漏洞就是坑爹啊、
第一处:OA办公系统
http://demo.zoomla.cn/Mis/OA/
第二处:社区互动
http://demo.zoomla.cn/User/UserZone/Default.aspx
### 漏洞证明:
用OA系统办公系统打比方吧。
首先我注册俩个账号分别为zaizai和zaizai1、
1、用户zaizai1给用户zaizai发送一份邮件,标题处存在xss漏洞。
[<img src="https://images.seebug.org/upload/201408/251410096d85321e1ee0acb749e6818fbd4e9297.jpg" alt="QQ图片20140825135600.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/251410096d85321e1ee0acb749e6818fbd4e9297.jpg)
2、用户zaizai打开邮箱就会触发漏洞。
[<img src="https://images.seebug.org/upload/201408/25141159c323b8d26075a074fd8582495d003a18.jpg" alt="QQ图片20140825141148.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141159c323b8d26075a074fd8582495d003a18.jpg)
[<img src="https://images.seebug.org/upload/201408/25141222af7249fd6e49aea223675672b6fa45e0.jpg" alt="QQ图片20140825140257.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141222af7249fd6e49aea223675672b6fa45e0.jpg)
3、截取到的cookie可以自己拿来利用,用户zaizai1修改自己的cookie为用户zaizai的虽然没有显示为用户zaizai,但是可以获取他邮箱里面的内容和等一些操作。
```
普通会员|zaizai1 2014年8月25日 星期一
```
```
ManageState=ManageId=1&LoginName=YWRtaW4=&TrueName=YWRtaW4=&Password=7fef6171469e80d32c0559f88b377245&Role=,1,&randNum=7872110513; WT_FPC=id=2c049e16f183bc9ad451408945989454:lv=1408945989454:ss=1408945989454; hasshown=1; __qc_wId=311; pgv_pvid=3011473620; users=; UserState=WorekNum=&UserID=17&LoginName=emFpemFp&Password=7a1f45cd86473541727d47c96b0ad231
```
[<img src="https://images.seebug.org/upload/201408/25141430a45b87cc157bcf9c6fead9e728d39025.png" alt="QQ图片20140825140359.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141430a45b87cc157bcf9c6fead9e728d39025.png)
互动社区漏洞证明:
[<img src="https://images.seebug.org/upload/201408/25141715dcb441279884ce95102923799d36083c.jpg" alt="QQ图片20140825135659.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141715dcb441279884ce95102923799d36083c.jpg)
[<img src="https://images.seebug.org/upload/201408/25141720a90ecea5f83ad949e407142e68daeb54.jpg" alt="QQ图片20140825135821.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141720a90ecea5f83ad949e407142e68daeb54.jpg)
这里我还提权一个点吧,结合这里的xss邮箱附件的地方是以用户名和文件名为路径的保存,在截取到管理员的cookie或者利用crsf工具,创建一个【用户名.asp】的用户,可以得到一枚鸡肋getshell。
暂无评论