### 简要描述: 嘉缘人才管理系统xss可以盗取管理员cookie ### 详细说明: 漏洞细节: 最新下的官网的源码frcmsV31GBK 0x01 代码分析 首先看看输入点的文件comment/newscommmentok.php ``` $c_ip=getip(); $c_nid=intval($newsid); $c_addtime=date('Y-m-d H:i:s'); $c_content=$pj_content; //客户端接受的$pj_content未过滤 $c_title=$n_title; //客户端接受的$n_title未过滤 if(!$cfg['commentcheck']){ $pbarr=explode('|',$cfg['gbmanagerubbish']); foreach ($pbarr as $value){ //var_dump($value); $flag=strstr($pj_content,$value)?2:1; if($flag){ break; } } $c_pass=$flag; }else{ $c_pass=0; } if($c_pass==0){ $tsxx="您的评论内容已经提交成功!\\n管理员审核后在相关页中显示!"; }elseif($c_pass==1){ $tsxx="您的评论内容已经提交成功!\\n请刷新页面!"; }elseif($c_pass==2){ $tsxx="您的评论内容有非法关键词!\\n请阅读发表评论须知"; } $sql="insert into {$cfg['tb_pre']}comment(c_username,c_content,c_nid,c_pass,c_addtime,c_ip,c_title ) values ('$c_username','$c_content','$c_nid','$c_pass','$c_addtime','$c_ip','$c_title')"; //exit($sql); $db->query($sql); echo "<script language=JavaScript>alert('$tsxx');window.opener.location.reload();window.close();</script>";...
### 简要描述: 嘉缘人才管理系统xss可以盗取管理员cookie ### 详细说明: 漏洞细节: 最新下的官网的源码frcmsV31GBK 0x01 代码分析 首先看看输入点的文件comment/newscommmentok.php ``` $c_ip=getip(); $c_nid=intval($newsid); $c_addtime=date('Y-m-d H:i:s'); $c_content=$pj_content; //客户端接受的$pj_content未过滤 $c_title=$n_title; //客户端接受的$n_title未过滤 if(!$cfg['commentcheck']){ $pbarr=explode('|',$cfg['gbmanagerubbish']); foreach ($pbarr as $value){ //var_dump($value); $flag=strstr($pj_content,$value)?2:1; if($flag){ break; } } $c_pass=$flag; }else{ $c_pass=0; } if($c_pass==0){ $tsxx="您的评论内容已经提交成功!\\n管理员审核后在相关页中显示!"; }elseif($c_pass==1){ $tsxx="您的评论内容已经提交成功!\\n请刷新页面!"; }elseif($c_pass==2){ $tsxx="您的评论内容有非法关键词!\\n请阅读发表评论须知"; } $sql="insert into {$cfg['tb_pre']}comment(c_username,c_content,c_nid,c_pass,c_addtime,c_ip,c_title ) values ('$c_username','$c_content','$c_nid','$c_pass','$c_addtime','$c_ip','$c_title')"; //exit($sql); $db->query($sql); echo "<script language=JavaScript>alert('$tsxx');window.opener.location.reload();window.close();</script>"; exit; }else{ echo "<script language=JavaScript>alert('网站不允许发表评论!');window.close();</script>";exit; } }else{ echo "<script language=JavaScript>alert('参数错误!');window.close();</script>";exit; } ?> ``` 分析输出点 在看看后台输出点的文件admin/websys_comment.php ``` $rsdb=array(); $sqladd=''; $gblist=''; if(isset($p)&&$p!='') $sqladd.="where c_pass=".intval($p); $sql="select c_id,c_username,c_nid,c_title,c_content,c_addtime,c_ip,c_pass from {$cfg['tb_pre']}comment $sqladd order by c_id desc"; $query=$db->query($sql); $counts = $db->num_rows($query); $page= isset($_GET['page'])?$_GET['page']:1;//默认页码 $getpageinfo = page($page,$counts,"websys_comment.php?p=$p",20,5); $sql.=$getpageinfo['sqllimit']; $query=$db->query($sql); while($row=$db->fetch_array($query)){ $gblist.="<tr align=\"center\">\r\n"; $gblist.="<td>$row[c_id]</td>\r\n"; $gblist.="<td>$row[c_username]</td>\r\n"; $gblist.="<td align=\"left\"><a href=\"{$cfg['path']}article/article.php?newsid=$row[c_nid]\" target=\"_blank\">$row[c_title]</a> 【<span onClick=show(\"con$row[c_id]\") style=\"cursor:pointer;\">评论内容</span>】</td>\r\n"; //输出点也未过滤 $gblist.="<td>$row[c_addtime]</td>\r\n"; $gblist.="<td>$row[c_ip]</td>\r\n"; $gblist.="<td>"; if($row["c_pass"]==1){$gblist.=" <font color=green>已审核</font>";}elseif($row["c_pass"]==2){$gblist.=" <font color=red>机器人屏蔽</font>";}else{$gblist.=" 屏蔽中";} $gblist.="</td>\r\n"; $gblist.="<td><input type=\"checkbox\" name=\"cid\" value=\"$row[c_id]\" class=\"checkbox\" /></td>\r\n"; $gblist.="</tr>\r\n"; $gblist.="<tr id=\"con$row[c_id]\" style=\"display:none;\">\r\n"; $gblist.="<td colspan=\"7\">$row[c_content]</td>\r\n"; $gblist.="</tr>\r\n"; } } ``` 从而导致XSS漏洞,可以盗取管理员cookie,键盘记录等操作 ### 漏洞证明: 0x02 漏洞利用 出入利用代码 [<img src="https://images.seebug.org/upload/201409/1020441746edb78fa3d3e30ae4a8ab14fe01fe4a.png" alt="jiayuan3PNG.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/1020441746edb78fa3d3e30ae4a8ab14fe01fe4a.png) [<img src="https://images.seebug.org/upload/201409/10204429ad7fce9ce849ab335e138232ce57c33d.png" alt="jiayuan4.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/10204429ad7fce9ce849ab335e138232ce57c33d.png) [<img src="https://images.seebug.org/upload/201409/10204444d2e98fd8203fde797d829c8025dd6e50.png" alt="jiayuan5.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/10204444d2e98fd8203fde797d829c8025dd6e50.png) 利用cookie登陆 [<img src="https://images.seebug.org/upload/201409/10204506e3a1b11de1a692e3d7bc3c8c4b63d2c9.png" alt="jiayuan6.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/10204506e3a1b11de1a692e3d7bc3c8c4b63d2c9.png) 成功登陆
