JEECMS 逻辑和跨站再来四五发

### 简要描述： 再折磨最后一次，JEECMS中最郁闷的就是展现层用的freemarker，就算传了jsp也没法解析。JEEBBS和JEECMS的前台功能还算简单，偷个cookie跑台没法穿越改xml或者读tom猫密码或者系统配置不存在敏感信息还是不是那么容易拿到webshell的。刚又看了下能够读写配置的地方已经加上了StartWith判断了。如果能把逻辑漏洞和跨站什么的都解决了就完美了。 ### 详细说明： 1、邮箱的两处没有验证xss 一处是注册，之前JEEBBS已经提过了，一处是修改密码那里。 直接用官方的demo站演示： [<img src="https://images.seebug.org/upload/201308/012344161182a129f00ae2f89c3c0231b375e880.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012344161182a129f00ae2f89c3c0231b375e880.png) [<img src="https://images.seebug.org/upload/201308/0123443396c28a2c538cc011890888f4d7707683.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/0123443396c28a2c538cc011890888f4d7707683.png) [<img src="https://images.seebug.org/upload/201308/0123450586259825b934939b140788ef30717f03.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/0123450586259825b934939b140788ef30717f03.png) 2、个人资料全部xss 依旧用demo站演示 [<img src="https://images.seebug.org/upload/201308/012346271c6cc88cbdd3084ccca255d716760ee6.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012346271c6cc88cbdd3084ccca255d716760ee6.png) [<img src="https://images.seebug.org/upload/201308/012346564657f042850f54d307afd768cb0f3257.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012346564657f042850f54d307afd768cb0f3257.jpg) 3、投稿打管理员 后台修改不会触发，点击查看就会触发了。官方的demo站禁止投稿了，用本地测试 [<img src="https://images.seebug.org/upload/201308/012347561b5fea12d5bb097ca046bfa972250a3b.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012347561b5fea12d5bb097ca046bfa972250a3b.png) [<img src="https://images.seebug.org/upload/201308/012348169eb736839a0ecd8f59f11ad060522a7c.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012348169eb736839a0ecd8f59f11ad060522a7c.png) 4、搜索xss GET请求如下URL： ``` http://demo.jeecms.com/search.jspx?q=%2F%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3Ehello&channelId= ``` [<img src="https://images.seebug.org/upload/201308/01234919c2e486dc6bf6ecfd815abcccf0ad8255.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/01234919c2e486dc6bf6ecfd815abcccf0ad8255.png) 5、其他问题 其他问题还是不少的，很多时候直接Tamper data一下就能越权(平行权限)了。在SQL里面还是看见几个拼凑的只是没法利用。现在前台的功能比较少，还有些小问题等新版什么时候发了再去玩玩。 一般的CMS后端代码都做的非常烂，但是看了JEECMS的代码会发现写的非常有水平。想像一下一个CMS能够做到如此强大的后端支持真的非常不易了，顶下JEECMS。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201308/0123450586259825b934939b140788ef30717f03.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/0123450586259825b934939b140788ef30717f03.png) [<img src="https://images.seebug.org/upload/201308/012346564657f042850f54d307afd768cb0f3257.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012346564657f042850f54d307afd768cb0f3257.jpg) [<img src="https://images.seebug.org/upload/201308/012348169eb736839a0ecd8f59f11ad060522a7c.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/012348169eb736839a0ecd8f59f11ad060522a7c.png) [<img src="https://images.seebug.org/upload/201308/01234919c2e486dc6bf6ecfd815abcccf0ad8255.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/01234919c2e486dc6bf6ecfd815abcccf0ad8255.png)