程氏舞曲CMS储存型 xss(6) 附后台getshell

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 大概这是最后一次 提交这个cms的xss了。。 ### 详细说明: 黑盒几分钟就出来了。。 发表文章处。 先提交一段测试代码。 ``` <img src=x/onerror=x>onerror onxxxx<img src=x onxxxx=><x xx onxxxx=x> ``` 发现 结果只剩下了 onxxxx。 那么 其机制大概是这样的。 ``` 先过滤掉 onerror之类的危险字符串。再将 <>标签内的onxxx给过滤掉 ``` 上次我是这样绕过的 [WooYun: 程氏舞曲储存型xss (4) #2处xss](http://www.wooyun.org/bugs/wooyun-2014-060274) 如果我换成 ' 包裹住 > 会怎样呢? 提交 <img src=x ='>' onxxxx=>。 这下没过滤了。剩下的就是找个没有在白名单里的 事件了。 像这样 alert ``` <video src="xxx.xxx.xxx/a"a='>' onprogress=alert(1)> ``` [<img src="https://images.seebug.org/upload/201407/10014719993a8aa2c3cfcec64e7d234a402c06cd.jpg" alt="22.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/10014719993a8aa2c3cfcec64e7d234a402c06cd.jpg) (该事件测试于 谷歌浏览器) 后台getshell就很简单了, 看到/csdj/lib/Cs_Config.php的代码 ``` <?php define("Web_Name","程氏CMS3.5"); //站点名称 define("Web_Url","localhost"); //站点域名 define("Web_Path","/"); //站点路径 define("Admin_Code","aaaaaa"); //后台验证码 define("Admin_Url",""); //后台访问域名,留空为取消 define("Web_Off",0);...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息