VULHUB ™

### 简要描述： RT ### 详细说明： 看着大家都在挖注入，发现官网的测试站点也开始变态了，单引号都直接纳入非法注入检测。 于是无奈之下就，看看都加都不关注的xss，防注入做得确实不错，但是这个跨站漏洞就是坑爹啊、 第一处：OA办公系统 http://demo.zoomla.cn/Mis/OA/ 第二处：社区互动 http://demo.zoomla.cn/User/UserZone/Default.aspx ### 漏洞证明： 用OA系统办公系统打比方吧。 首先我注册俩个账号分别为zaizai和zaizai1、 1、用户zaizai1给用户zaizai发送一份邮件，标题处存在xss漏洞。 [<img src="https://images.seebug.org/upload/201408/251410096d85321e1ee0acb749e6818fbd4e9297.jpg" alt="QQ图片20140825135600.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/251410096d85321e1ee0acb749e6818fbd4e9297.jpg) 2、用户zaizai打开邮箱就会触发漏洞。 [<img src="https://images.seebug.org/upload/201408/25141159c323b8d26075a074fd8582495d003a18.jpg" alt="QQ图片20140825141148.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141159c323b8d26075a074fd8582495d003a18.jpg) [<img src="https://images.seebug.org/upload/201408/25141222af7249fd6e49aea223675672b6fa45e0.jpg" alt="QQ图片20140825140257.jpg" width="600"...

### 简要描述： RT ### 详细说明： 看着大家都在挖注入，发现官网的测试站点也开始变态了，单引号都直接纳入非法注入检测。 于是无奈之下就，看看都加都不关注的xss，防注入做得确实不错，但是这个跨站漏洞就是坑爹啊、 第一处：OA办公系统 http://demo.zoomla.cn/Mis/OA/ 第二处：社区互动 http://demo.zoomla.cn/User/UserZone/Default.aspx ### 漏洞证明： 用OA系统办公系统打比方吧。 首先我注册俩个账号分别为zaizai和zaizai1、 1、用户zaizai1给用户zaizai发送一份邮件，标题处存在xss漏洞。 [<img src="https://images.seebug.org/upload/201408/251410096d85321e1ee0acb749e6818fbd4e9297.jpg" alt="QQ图片20140825135600.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/251410096d85321e1ee0acb749e6818fbd4e9297.jpg) 2、用户zaizai打开邮箱就会触发漏洞。 [<img src="https://images.seebug.org/upload/201408/25141159c323b8d26075a074fd8582495d003a18.jpg" alt="QQ图片20140825141148.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141159c323b8d26075a074fd8582495d003a18.jpg) [<img src="https://images.seebug.org/upload/201408/25141222af7249fd6e49aea223675672b6fa45e0.jpg" alt="QQ图片20140825140257.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141222af7249fd6e49aea223675672b6fa45e0.jpg) 3、截取到的cookie可以自己拿来利用，用户zaizai1修改自己的cookie为用户zaizai的虽然没有显示为用户zaizai，但是可以获取他邮箱里面的内容和等一些操作。 ``` 普通会员|zaizai1 2014年8月25日 星期一 ``` ``` ManageState=ManageId=1&LoginName=YWRtaW4=&TrueName=YWRtaW4=&Password=7fef6171469e80d32c0559f88b377245&Role=,1,&randNum=7872110513; WT_FPC=id=2c049e16f183bc9ad451408945989454:lv=1408945989454:ss=1408945989454; hasshown=1; __qc_wId=311; pgv_pvid=3011473620; users=; UserState=WorekNum=&UserID=17&LoginName=emFpemFp&Password=7a1f45cd86473541727d47c96b0ad231 ``` [<img src="https://images.seebug.org/upload/201408/25141430a45b87cc157bcf9c6fead9e728d39025.png" alt="QQ图片20140825140359.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141430a45b87cc157bcf9c6fead9e728d39025.png) 互动社区漏洞证明： [<img src="https://images.seebug.org/upload/201408/25141715dcb441279884ce95102923799d36083c.jpg" alt="QQ图片20140825135659.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141715dcb441279884ce95102923799d36083c.jpg) [<img src="https://images.seebug.org/upload/201408/25141720a90ecea5f83ad949e407142e68daeb54.jpg" alt="QQ图片20140825135821.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/25141720a90ecea5f83ad949e407142e68daeb54.jpg) 这里我还提权一个点吧，结合这里的xss邮箱附件的地方是以用户名和文件名为路径的保存，在截取到管理员的cookie或者利用crsf工具，创建一个【用户名.asp】的用户，可以得到一枚鸡肋getshell。