### 简要描述:
SDCMS某处存储型xss,可跨进后台直接劫持管理员
### 详细说明:
问题还是在短消息处。
之前SDCMS短消息处存在xss可以直接劫持任意指定用户,这个bug修改了,但是没有修复完全,这次来个更狠的,直接劫持管理员账户。
首先,我们发送短消息给任意存在的用户,这里我们用222222给111111账户发消息:
[<img src="https://images.seebug.org/upload/201309/04125446ef6ccfd71a1e274803f5abb404380975.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/04125446ef6ccfd71a1e274803f5abb404380975.png)
然后再后台看看:
[<img src="https://images.seebug.org/upload/201309/04125504534bbb7cfd3d4a4fed31dfd334fd9244.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/04125504534bbb7cfd3d4a4fed31dfd334fd9244.png)
打开我们刚才发给111111用户的消息,在短消息的内容处,触发xss:
[<img src="https://images.seebug.org/upload/201309/0412552833d316295e667481d228126bffb7dc4e.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/0412552833d316295e667481d228126bffb7dc4e.png)
同样可以劫持到完整cookie:
[<img src="https://images.seebug.org/upload/201309/0412561069ffd2be8bdf80f2339ecce5c2d887a1.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/0412561069ffd2be8bdf80f2339ecce5c2d887a1.png)
所以,只要我们给消息起一个引人注目的标题,管理员登陆后只要打开此消息查看,就会被劫持,利用起来也很顺利的吧
### 漏洞证明:
见详细说明
京公网安备 11010502034610号
暂无评论