StartBBS v1.1.5存储型xss

### 简要描述： 存储型xss。 ### 详细说明： 用户资料修改处，可以填写用户网站。 一般填写url的地方容易出现xss，很多人忽略。 观察代码，app/controllers/settings.php 36行 ``` $data = array( 'uid' => $uid, 'email' => strip_tags($this->input->post('email')), 'homepage' => prep_url(strip_tags($this->input->post('homepage'))), 'location' => strip_tags($this->input->post('location')), 'qq' => strip_tags($this->input->post('qq')), 'signature' => strip_tags($this->input->post('signature')), 'introduction' => strip_tags($this->input->post('introduction')) ); ``` 先调用strip_tags去除html标签，再调用prep_url处理。prep_url函数如下： ``` function prep_url($str = '') { if ($str == 'http://' OR $str == '') { return ''; } $url = parse_url($str); if ( ! $url OR ! isset($url['scheme'])) { $str = 'http://'.$str; } return $str; } ``` 我们如果使用伪协议的xss，如<a href="javascript:alert(1)">aaa</a>，我们填入的url就是javascript:alert(1)，不会被strip_tags过滤。 但这个函数看起来似乎在前面加了http://，实际上$url['scheme']是javascript，!isset()并不成立，所以没有进入下面那个if语句。 有了这些理论基础，所以我们就可以开始插了。 ### 漏洞证明： url在数据库中长度只有50，比较短。但因为StartBBS用了Jquery，所以可以调用Jquery的getScript方法来加载远程js： [<img src="https://images.seebug.org/upload/201405/11142326c9bce315572da022b1ec0e4b9581e8f3.jpg" alt="001.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11142326c9bce315572da022b1ec0e4b9581e8f3.jpg) 其他用户（甚至管理员）访问你的资料，并点击你的网址以后触发： [<img src="https://images.seebug.org/upload/201405/11142610d53cc210d02057b954915e52102aea11.jpg" alt="002.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11142610d53cc210d02057b954915e52102aea11.jpg) ps. 真的有这么傻的人会点这么奇怪的链接吗？那我就不知道了。。。 xss平台已经收到cookie： [<img src="https://images.seebug.org/upload/201405/111428387911560ce6ec3e0b5fa364aa2ddc5882.jpg" alt="003.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/111428387911560ce6ec3e0b5fa364aa2ddc5882.jpg)