程氏舞曲CMS论坛存储型XSS

### 简要描述： 洞被X了不少，留给我的太少。。。 我何时能 1个Ⅹ10个 ### 详细说明： #1 [<img src="https://images.seebug.org/upload/201408/0718503567ae1306fcd7797895660ccb20ec9ac5.jpg" alt="360截图20140807184735484.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/0718503567ae1306fcd7797895660ccb20ec9ac5.jpg) 发帖或者回复时插入文件，url构造成恶意地址，写上诱人的标题 [<img src="https://images.seebug.org/upload/201408/071852531e4429cc4e2050351aa76fc171480cf9.jpg" alt="360截图20140807184910312.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/071852531e4429cc4e2050351aa76fc171480cf9.jpg) 利用firebug之类的工具修改html，这里我删除了target属性，页面就不会再新页面打开，还可以尝试添加属性。 地址：http://bbs.home.chshcms.com/index.php/show/index/17 #2（和第一个差不多呢） [<img src="https://images.seebug.org/upload/201408/07185602260fa38e6789b6bc49966f8db845f0ad.jpg" alt="360截图20140807184831828.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/07185602260fa38e6789b6bc49966f8db845f0ad.jpg) 创建一个链接 [<img src="https://images.seebug.org/upload/201408/071856568910edc8fe57f32363ee700d2a87e93d.jpg" alt="360截图20140807185011796.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/071856568910edc8fe57f32363ee700d2a87e93d.jpg) 当然不能让恶意地址暴露，修改成“诱人”的地址。 地址：http://bbs.home.chshcms.com/index.php/show/index/17 #3（这里或许存在风险，还是处理下吧） [<img src="https://images.seebug.org/upload/201408/07190300e7028e1315ed34b1dbddf2ffe5e1e62b.jpg" alt="360截图20140807190310453.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/07190300e7028e1315ed34b1dbddf2ffe5e1e62b.jpg) 插入图片时修改html写入发现只过滤了双引号 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201408/07190609cf76bf9829fe2574a2201d93fdf84c36.jpg" alt="360截图20140807190638750.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/07190609cf76bf9829fe2574a2201d93fdf84c36.jpg) 打字不易，这个洞应该不会被审核大哥算成通用 (┬_┬)