### 简要描述:
嘉缘人才管理系统xss可以盗取管理员cookie
### 详细说明:
漏洞细节:
最新下的官网的源码frcmsV31GBK
0x01 代码分析
首先看看输入点的文件comment/newscommmentok.php
```
$c_ip=getip();
$c_nid=intval($newsid);
$c_addtime=date('Y-m-d H:i:s');
$c_content=$pj_content; //客户端接受的$pj_content未过滤
$c_title=$n_title; //客户端接受的$n_title未过滤
if(!$cfg['commentcheck']){
$pbarr=explode('|',$cfg['gbmanagerubbish']);
foreach ($pbarr as $value){
//var_dump($value);
$flag=strstr($pj_content,$value)?2:1;
if($flag){
break;
}
}
$c_pass=$flag;
}else{
$c_pass=0;
}
if($c_pass==0){
$tsxx="您的评论内容已经提交成功!\\n管理员审核后在相关页中显示!";
}elseif($c_pass==1){
$tsxx="您的评论内容已经提交成功!\\n请刷新页面!";
}elseif($c_pass==2){
$tsxx="您的评论内容有非法关键词!\\n请阅读发表评论须知";
}
$sql="insert into {$cfg['tb_pre']}comment(c_username,c_content,c_nid,c_pass,c_addtime,c_ip,c_title ) values ('$c_username','$c_content','$c_nid','$c_pass','$c_addtime','$c_ip','$c_title')";
//exit($sql);
$db->query($sql);
echo "<script language=JavaScript>alert('$tsxx');window.opener.location.reload();window.close();</script>";
exit;
}else{
echo "<script language=JavaScript>alert('网站不允许发表评论!');window.close();</script>";exit;
}
}else{
echo "<script language=JavaScript>alert('参数错误!');window.close();</script>";exit;
}
?>
```
分析输出点
在看看后台输出点的文件admin/websys_comment.php
```
$rsdb=array();
$sqladd=''; $gblist='';
if(isset($p)&&$p!='') $sqladd.="where c_pass=".intval($p);
$sql="select c_id,c_username,c_nid,c_title,c_content,c_addtime,c_ip,c_pass from {$cfg['tb_pre']}comment $sqladd order by c_id desc";
$query=$db->query($sql);
$counts = $db->num_rows($query);
$page= isset($_GET['page'])?$_GET['page']:1;//默认页码
$getpageinfo = page($page,$counts,"websys_comment.php?p=$p",20,5);
$sql.=$getpageinfo['sqllimit'];
$query=$db->query($sql);
while($row=$db->fetch_array($query)){
$gblist.="<tr align=\"center\">\r\n";
$gblist.="<td>$row[c_id]</td>\r\n";
$gblist.="<td>$row[c_username]</td>\r\n";
$gblist.="<td align=\"left\"><a href=\"{$cfg['path']}article/article.php?newsid=$row[c_nid]\" target=\"_blank\">$row[c_title]</a> 【<span onClick=show(\"con$row[c_id]\") style=\"cursor:pointer;\">评论内容</span>】</td>\r\n"; //输出点也未过滤
$gblist.="<td>$row[c_addtime]</td>\r\n";
$gblist.="<td>$row[c_ip]</td>\r\n";
$gblist.="<td>";
if($row["c_pass"]==1){$gblist.=" <font color=green>已审核</font>";}elseif($row["c_pass"]==2){$gblist.=" <font color=red>机器人屏蔽</font>";}else{$gblist.=" 屏蔽中";}
$gblist.="</td>\r\n";
$gblist.="<td><input type=\"checkbox\" name=\"cid\" value=\"$row[c_id]\" class=\"checkbox\" /></td>\r\n";
$gblist.="</tr>\r\n";
$gblist.="<tr id=\"con$row[c_id]\" style=\"display:none;\">\r\n";
$gblist.="<td colspan=\"7\">$row[c_content]</td>\r\n";
$gblist.="</tr>\r\n";
}
}
```
从而导致XSS漏洞,可以盗取管理员cookie,键盘记录等操作
### 漏洞证明:
0x02 漏洞利用
出入利用代码
[<img src="https://images.seebug.org/upload/201409/1020441746edb78fa3d3e30ae4a8ab14fe01fe4a.png" alt="jiayuan3PNG.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/1020441746edb78fa3d3e30ae4a8ab14fe01fe4a.png)
[<img src="https://images.seebug.org/upload/201409/10204429ad7fce9ce849ab335e138232ce57c33d.png" alt="jiayuan4.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/10204429ad7fce9ce849ab335e138232ce57c33d.png)
[<img src="https://images.seebug.org/upload/201409/10204444d2e98fd8203fde797d829c8025dd6e50.png" alt="jiayuan5.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/10204444d2e98fd8203fde797d829c8025dd6e50.png)
利用cookie登陆
[<img src="https://images.seebug.org/upload/201409/10204506e3a1b11de1a692e3d7bc3c8c4b63d2c9.png" alt="jiayuan6.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/10204506e3a1b11de1a692e3d7bc3c8c4b63d2c9.png)
成功登陆
京公网安备 11010502034610号
暂无评论