### 简要描述:
....
### 详细说明:
还是那个获取ip的函数,既然可以伪造ip那么坑定可以插入js了。
```
function GetIP(){
if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown"))
$ip = getenv("HTTP_CLIENT_IP");
else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))
$ip = getenv("HTTP_X_FORWARDED_FOR");
else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown"))
$ip = getenv("REMOTE_ADDR");
else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown"))
$ip = $_SERVER['REMOTE_ADDR'];
else
$ip = "";
return($ip);
}
```
追终这个函数的输出。在https://images.seebug.org/upload/app/controllers/user/ulog.php第114行
```
$updata['CS_Zx'] = 1;
$updata['CS_LogNum'] = $row[0]->CS_LogNum+1;
$updata['CS_LogTime'] = date('Y-m-d H:i:s');
$updata['CS_LogIP'] = $this->CsdjSkins->GetIP();//使用了获取ip函数把值付给$updata数组
$updata['CS_Logms'] = time();
$this->CsdjDB->get_update ('user',$row[0]->CS_ID,$updata);//使用句柄更新了了ip地址
$ulogin['cs_id']=$row[0]->CS_ID;
$ulogin['cs_name']=$row[0]->CS_Name;
$ulogin['cs_pass']=md5($row[0]->CS_Pass);
$this->session->set_userdata($ulogin);
exit('10006'); //登入成功
```
### 漏洞证明:
在用户登录的时候抓包,
[<img src="https://images.seebug.org/upload/201402/18152438017a8b001e86160570bf1bd04f761286.jpg" alt="QQ图片20140218152320.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/18152438017a8b001e86160570bf1bd04f761286.jpg)
插入我们的恶意脚本。
当管理员去后台查看会员的时候payload被执行了
[<img src="https://images.seebug.org/upload/201402/18152641fe13cd6467196c8b7fb7a7950a3fb51b.jpg" alt="QQ图片20140218152552.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/18152641fe13cd6467196c8b7fb7a7950a3fb51b.jpg)
京公网安备 11010502034610号
暂无评论