KesionCMS V9.5一处鸡肋的xss可打前台用户后台管理(两个猥琐的思路让鸡肋不再鸡肋)#2

### 简要描述： 呵呵 ### 详细说明： 听说通用型有奖金，所以我就来了！！ 还是上次的测试站点 首先如果你是站长这个xss利用更加不鸡肋了！！ 申请友情链接 假入你是个站长，请按照他要求填写信息，由于我是测试所以就乱填了！！ [<img src="https://images.seebug.org/upload/201405/26222932b3917a85f245bbc1369a682f3ff41eb1.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/26222932b3917a85f245bbc1369a682f3ff41eb1.jpg) IE登陆后台看看 会在非常显眼的地方提示你有待审核的友情链接 [<img src="https://images.seebug.org/upload/201405/26223338c48f5710f776c2d61c21b70e2475433d.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/26223338c48f5710f776c2d61c21b70e2475433d.jpg) 假如我们审核通过了（ps：前几天我测试的时候插入代码`<script>alert(/3/)</script>`，当时我猥琐的想到应该是只过滤一次，前台在修改一下链接就OK了，然后我就继续测试，果真是只过滤一次） 假如链接通过了 这时我们在前台在修改下自己的友情链接 [<img src="https://images.seebug.org/upload/201405/2622374193b5a6278f667b4b40de5495681d575e.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2622374193b5a6278f667b4b40de5495681d575e.jpg) 提交成功后返回前台弹窗（打前台会员！！）~~~ [<img src="https://images.seebug.org/upload/201405/2622382351f0598f6aa656f645d31f8f3861a155.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2622382351f0598f6aa656f645d31f8f3861a155.jpg) IE下后台查看友情链接 弹窗，证明可以盲打后台管理！ [<img src="https://images.seebug.org/upload/201405/26224028225439c6c58085814a4a65b97484c821.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/26224028225439c6c58085814a4a65b97484c821.jpg) 上面是一种猥琐的思路 下面这个我感觉也满猥琐的 关键词 ``` 版本号:KesionCMS V9.5 然后http://www.xxx.com/plus/link/ 请看下文如何利用 ``` 我发现每个网站都有科讯cms的友情链接 上面说到友情链接是需要设置密码的 从下面这图中圈起来的部分就能看出，科讯cms的链接并非客户自己加上去的，而是程序自带的 [<img src="https://images.seebug.org/upload/201405/2622462052865d336f58a58d5fc5ba985581c9e4.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2622462052865d336f58a58d5fc5ba985581c9e4.jpg) 然后我就从官网下载了cms查看数据库 发现默认密码是111111 呵呵，又从这个站点开始测试吧！！！ [<img src="https://images.seebug.org/upload/201405/26225210b0a4110a101e37707d752848af545abf.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/26225210b0a4110a101e37707d752848af545abf.jpg) 前台再次弹窗 Ps：之前修改的友情链接我删除了 [<img src="https://images.seebug.org/upload/201405/2622464815a2136f4a81addeb7d4232fca1113f6.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2622464815a2136f4a81addeb7d4232fca1113f6.jpg) 后台再次弹窗 [<img src="https://images.seebug.org/upload/201405/262247589d60dcff48edb810f1fbeccdb2cb3f7c.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/262247589d60dcff48edb810f1fbeccdb2cb3f7c.jpg) 查看下友情链接，原来是网站名字的原因没过滤好！ [<img src="https://images.seebug.org/upload/201405/26224836e8b74dc03ef6b0d9a51a14d6f818b1cc.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/26224836e8b74dc03ef6b0d9a51a14d6f818b1cc.jpg) OK，测试完毕！ ### 漏洞证明： 详细说明，我以为漏洞不审核了，就感觉没劲，没想到今晚审核了两个...这些应该算是通杀的吧？