程氏舞曲cms存储型XSS

### 简要描述： 程氏舞曲cms官方演示站存储型XSS ### 详细说明： 程氏舞曲最新版如下图的所有上图片传点均存在存储型xss [<img src="https://images.seebug.org/upload/201402/25153531ede5ffde1c7798094ad589201bcde438.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/25153531ede5ffde1c7798094ad589201bcde438.png) PS:对程氏cms不太了解只看到了照片上传和主页相关的上传背景处.. 因为照片需要背管理员审核 所以应该可以打到管理员的cookies ### 漏洞证明： 打开 [<img src="https://images.seebug.org/upload/201402/25153531ede5ffde1c7798094ad589201bcde438.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/25153531ede5ffde1c7798094ad589201bcde438.png) 抓取返回包看到 [<img src="https://images.seebug.org/upload/201402/25154417b44acd82b1965bf56da08e4b4f75b9e9.png" alt="poc.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/25154417b44acd82b1965bf56da08e4b4f75b9e9.png) 修改 在 ***.png 后面加 " onerror = alert(1); 看到输出将 " 转意为 \" 于是借用sql注入思路宽字符绕过 构造exp ***.png %bf"%bf" onerror =alert(1); 如下图 [<img src="https://images.seebug.org/upload/201402/251547493b543a716202eed604f3e3945241eb85.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/251547493b543a716202eed604f3e3945241eb85.png) 触发xss [<img src="https://images.seebug.org/upload/201402/251548158c16a4de0cf113806ea839063baf951a.png" alt="xss.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/251548158c16a4de0cf113806ea839063baf951a.png)