|shopNC O2O系统储存型xss+添加管理员POC - VULHUB开源网络安全威胁库

shopNC O2O系统储存型xss+添加管理员POC

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述：上万网点受影响 ### 详细说明： 0x01 首先有个小问题，绝对路径泄露 [<img src="https://images.seebug.org/upload/201504/161659383cc84541cc1b6b32bc8b215f872fc095.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161659383cc84541cc1b6b32bc8b215f872fc095.png) 0x02 首先注册一个用户，然后到圈子里面发布话题 [<img src="https://images.seebug.org/upload/201504/1616580986ba83399ac600521cef558a99db0a22.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1616580986ba83399ac600521cef558a99db0a22.png) 在发布话题这里存在存储型的xss，其利用过程就是，具体可以参照这篇文章 http://drops.wooyun.org/tips/2031。在上传附件的地方只对附件的后缀进行的检测，但是没有检测附件内容。导致我们可以把一个swf文件修改成jpg后缀的文件然后上传。其中在嵌入swf文件的时候是allowScript=always。这样就导致了xss的产生。先上传恶意的swf [<img src="https://images.seebug.org/upload/201504/161704153f2886fd2047d843b3e7be1ce91a147f.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161704153f2886fd2047d843b3e7be1ce91a147f.png) 虽然报错了，但是还是传上去了。然后在话题处添加一个flash文件，就是我们上传的文件 [<img src="https://images.seebug.org/upload/201504/16170538b5ee3d344195303c282319f2072f3a43.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/16170538b5ee3d344195303c282319f2072f3a43.png) 然后发布信息首先可以看看测试，只要一个弹框 [<img src="https://images.seebug.org/upload/201504/16170728ac721992a391e00c98dfd2d4c6fc31de.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/16170728ac721992a391e00c98dfd2d4c6fc31de.png) 弹框是没啥用，后面想着漏洞利用的最大化。然后逛了逛后台，发现后台提交管理员的地方没有预防CSRF。这样我们就可以添加一个管理员。具体POC见测试代码处 ### 漏洞证明：首先我们上传了添加管理员的swf。可以看到之前是没有test这样用户的 [<img src="https://images.seebug.org/upload/201504/16170957832378271a399f3bad20d120cb02844a.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/16170957832378271a399f3bad20d120cb02844a.png) 然后访问存在xss的页面 ``` http://127.0.0.1/shopnc%20o2o%20v2.1/circle/index.php?act=theme&op=theme_detail&c_id=1&t_id=4 ``` 可以看到网络请求 [<img src="https://images.seebug.org/upload/201504/161711505eb6ec2afc0c601ddda207190ea07556.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161711505eb6ec2afc0c601ddda207190ea07556.png) 然后管理员成功添加 [<img src="https://images.seebug.org/upload/201504/161712256a0c74da626c14f69c7c6eaa832f9d09.png" alt="9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/161712256a0c74da626c14f69c7c6eaa832f9d09.png) 案例 [<img src="https://images.seebug.org/upload/201504/22103132700fa4db4ae6d99cf70188a9bd745a68.png" alt="23.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22103132700fa4db4ae6d99cf70188a9bd745a68.png) 随便找的五个，只做弹框测试 ``` http://www.0795hui.com/circle/index.php?act=theme&op=theme_detail&c_id=5&t_id=28 ``` [<img src="https://images.seebug.org/upload/201504/22101817d91b553f5129163d125ec931152ea2c8.png" alt="17.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22101817d91b553f5129163d125ec931152ea2c8.png) ``` http://www.jkmall.com/circle/index.php?act=theme&op=theme_detail&c_id=2&t_id=7 ``` [<img src="https://images.seebug.org/upload/201504/2210214478cf21349be48c7be143a08df93595be.png" alt="18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/2210214478cf21349be48c7be143a08df93595be.png) ``` http://www.ningxiang360.com/circle/index.php?act=theme&op=theme_detail&c_id=4&t_id=64 ``` [<img src="https://images.seebug.org/upload/201504/22102500ae35c3f258d2bcdfa9e98903c01b5c02.png" alt="20.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22102500ae35c3f258d2bcdfa9e98903c01b5c02.png) ``` http://www.cangshengwang.com/circle/index.php?act=theme&op=theme_detail&c_id=27&t_id=772 ``` [<img src="https://images.seebug.org/upload/201504/22102752d3604250d7145211e554d0e95314a8db.png" alt="21.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/22102752d3604250d7145211e554d0e95314a8db.png) ``` http://www.ahcy.cc/circle/index.php?act=theme&op=theme_detail&c_id=3&t_id=9 ``` [<img src="https://images.seebug.org/upload/201504/221030565a0e282bd70c27ab206d4abf75131e6e.png" alt="22.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/221030565a0e282bd70c27ab206d4abf75131e6e.png)

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™