JEECMS储存xss盲打后台#5

### 简要描述： 小号666 ### 详细说明： http://wooyun.org/bugs/wooyun-2015-098481/trace/3ce4527023b52540e8afe821df7160d3 继续来 稳定压倒一切! Jeecms是基于java技术研发的站群管理系统，稳定、安全、高效、跨平台、无限扩展是jeecms 的优点，系统支持mysql、oracle、sqlserver、db2等主流数据库。 轻松建设大规模网站群，从jeecms开始 官网：http://www.jeecms.com/ demo地址：http://www.jeecms.com/demo.jhtml 这套cms有3种类别的，这里演示第三种商场系统 [<img src="https://images.seebug.org/upload/201502/26225643b3d8e8704bc5db87f558e1c3bb576e1a.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/26225643b3d8e8704bc5db87f558e1c3bb576e1a.png) 影响大量商场网站，而且程序是jspx的，有钱人啊。这么多商城网站，商场网站如果能盲打后台的话我就不多说什么了吧。。看下影响先： [<img src="https://images.seebug.org/upload/201502/26225658f717a50597720c7998d79c9299a0839b.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/26225658f717a50597720c7998d79c9299a0839b.png) 首先来到demo地址：http://demo3.jeecms.com，登录上提供的用户名和密码 [<img src="https://images.seebug.org/upload/201502/2622581791745f2f1e2b5811ca71d736803a4126.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2622581791745f2f1e2b5811ca71d736803a4126.png) 先随便买个东西，苹果4s，是它是它就是它，我们的英雄4s。。 [<img src="https://images.seebug.org/upload/201502/2622582793ae82674d0b629aa39f98105a387813.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2622582793ae82674d0b629aa39f98105a387813.png) 然后点击结算 [<img src="https://images.seebug.org/upload/201502/2622583802475a65090ca04919fec8c18c3b7539.png" alt="24.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2622583802475a65090ca04919fec8c18c3b7539.png) 接下来这个地方比较隐蔽，需要勾选才可以，我们勾选上订单备注，然后插入：`"/><svg onload=alert(/你是最帅的/)>` [<img src="https://images.seebug.org/upload/201502/262258442f98eb27e8c21200212cda88692384d2.png" alt="25.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/262258442f98eb27e8c21200212cda88692384d2.png) 提示提交订单成功 [<img src="https://images.seebug.org/upload/201502/262258500e53efcbe5426d8601b66d37788d4814.png" alt="26.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/262258500e53efcbe5426d8601b66d37788d4814.png) 为证明非self-xss，接下来来到后台：http://demo3.jeecms.com/jeeadmin/jspgou/index.do，用户名test1密码test1 [<img src="https://images.seebug.org/upload/201502/26225910ddb9f560f4557945cbb01195d09a71c3.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/26225910ddb9f560f4557945cbb01195d09a71c3.png) 在查看订单的时候，成功弹窗~我是最帅的！ [<img src="https://images.seebug.org/upload/201502/26225856e577862b38b4e052160eb728236e88a2.png" alt="27.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/26225856e577862b38b4e052160eb728236e88a2.png) [<img src="https://images.seebug.org/upload/201502/2622591621124595796c44b76dd827c860b10a07.png" alt="28.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2622591621124595796c44b76dd827c860b10a07.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201502/2622591621124595796c44b76dd827c860b10a07.png" alt="28.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2622591621124595796c44b76dd827c860b10a07.png)