### 简要描述:
上万网点受影响
### 详细说明:
0x01
首先有个小问题,绝对路径泄露
[<img src="https://images.seebug.org/upload/201504/161659383cc84541cc1b6b32bc8b215f872fc095.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161659383cc84541cc1b6b32bc8b215f872fc095.png)
0x02
首先注册一个用户,然后到圈子里面发布话题
[<img src="https://images.seebug.org/upload/201504/1616580986ba83399ac600521cef558a99db0a22.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1616580986ba83399ac600521cef558a99db0a22.png)
在发布话题这里存在存储型的xss,其利用过程就是,具体可以参照这篇文章
http://drops.wooyun.org/tips/2031。
在上传附件的地方只对附件的后缀进行的检测,但是没有检测附件内容。导致我们可以把一个swf文件修改成jpg后缀的文件然后上传。其中在嵌入swf文件的时候是allowScript=always。这样就导致了xss的产生。先上传恶意的swf
[<img src="https://images.seebug.org/upload/201504/161704153f2886fd2047d843b3e7be1ce91a147f.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161704153f2886fd2047d843b3e7be1ce91a147f.png)
虽然报错了,但是还是传上去了。
然后在话题处添加一个flash文件,就是我们上传的文件
[<img src="https://images.seebug.org/upload/201504/16170538b5ee3d344195303c282319f2072f3a43.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/16170538b5ee3d344195303c282319f2072f3a43.png)
然后发布信息
首先可以看看测试,只要一个弹框
[<img src="https://images.seebug.org/upload/201504/16170728ac721992a391e00c98dfd2d4c6fc31de.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/16170728ac721992a391e00c98dfd2d4c6fc31de.png)
弹框是没啥用,后面想着漏洞利用的最大化。然后逛了逛后台,发现后台提交管理员的地方没有预防CSRF。这样我们就可以添加一个管理员。具体POC见测试代码处
### 漏洞证明:
首先我们上传了添加管理员的swf。可以看到之前是没有test这样用户的
[<img src="https://images.seebug.org/upload/201504/16170957832378271a399f3bad20d120cb02844a.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/16170957832378271a399f3bad20d120cb02844a.png)
然后访问存在xss的页面
```
http://127.0.0.1/shopnc%20o2o%20v2.1/circle/index.php?act=theme&op=theme_detail&c_id=1&t_id=4
```
可以看到网络请求
[<img src="https://images.seebug.org/upload/201504/161711505eb6ec2afc0c601ddda207190ea07556.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161711505eb6ec2afc0c601ddda207190ea07556.png)
然后管理员成功添加
[<img src="https://images.seebug.org/upload/201504/161712256a0c74da626c14f69c7c6eaa832f9d09.png" alt="9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161712256a0c74da626c14f69c7c6eaa832f9d09.png)
案例
[<img src="https://images.seebug.org/upload/201504/22103132700fa4db4ae6d99cf70188a9bd745a68.png" alt="23.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22103132700fa4db4ae6d99cf70188a9bd745a68.png)
随便找的五个,只做弹框测试
```
http://www.0795hui.com/circle/index.php?act=theme&op=theme_detail&c_id=5&t_id=28
```
[<img src="https://images.seebug.org/upload/201504/22101817d91b553f5129163d125ec931152ea2c8.png" alt="17.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22101817d91b553f5129163d125ec931152ea2c8.png)
```
http://www.jkmall.com/circle/index.php?act=theme&op=theme_detail&c_id=2&t_id=7
```
[<img src="https://images.seebug.org/upload/201504/2210214478cf21349be48c7be143a08df93595be.png" alt="18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/2210214478cf21349be48c7be143a08df93595be.png)
```
http://www.ningxiang360.com/circle/index.php?act=theme&op=theme_detail&c_id=4&t_id=64
```
[<img src="https://images.seebug.org/upload/201504/22102500ae35c3f258d2bcdfa9e98903c01b5c02.png" alt="20.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22102500ae35c3f258d2bcdfa9e98903c01b5c02.png)
```
http://www.cangshengwang.com/circle/index.php?act=theme&op=theme_detail&c_id=27&t_id=772
```
[<img src="https://images.seebug.org/upload/201504/22102752d3604250d7145211e554d0e95314a8db.png" alt="21.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22102752d3604250d7145211e554d0e95314a8db.png)
```
http://www.ahcy.cc/circle/index.php?act=theme&op=theme_detail&c_id=3&t_id=9
```
[<img src="https://images.seebug.org/upload/201504/221030565a0e282bd70c27ab206d4abf75131e6e.png" alt="22.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/221030565a0e282bd70c27ab206d4abf75131e6e.png)
暂无评论