VULHUB ™

### 简要描述： 可盲打管理员，演示站已验证 ### 详细说明： phpyun云人才系统，默认自带一个kindeditor编辑器，而编辑器自带的演示文件并没有删除。通过演示文件，我们可以上传.html后缀的文件，其中包含任意javascript代码，让管理员访问可盲打管理员cookie。 位置在 data/kindeditor/php/upload_json.php中： [<img src="https://images.seebug.org/upload/201405/12154429cf8796ac52070f8a8a2e7c96070e64f8.jpg" alt="03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12154429cf8796ac52070f8a8a2e7c96070e64f8.jpg) 不过有几点要说明的。 01.如果kindeditor目录下不存在attached目录的话，没法真正上传成功。但只要管理员在后台发表过文章（基本上只要这个站是活的），就会有这个目录。 02.如果attached目录下没有file目录的话，可以先访问data/kindeditor/php/file_manager_json.php?dir=file创建这个目录。 ### 漏洞证明： 单说不可信，我个使用phpyun的系统做试验吧~ 当然是演示站：http://www.hr135.com/ 先访问http://www.hr135.com/data/kindeditor/php/file_manager_json.php?dir=file看看是否有file这个目录，没有则创建。 [<img src="https://images.seebug.org/upload/201405/12155302ba8829a5495d1e965ef882832b8477ce.jpg" alt="04.jpg" width="600"...

### 简要描述： 可盲打管理员，演示站已验证 ### 详细说明： phpyun云人才系统，默认自带一个kindeditor编辑器，而编辑器自带的演示文件并没有删除。通过演示文件，我们可以上传.html后缀的文件，其中包含任意javascript代码，让管理员访问可盲打管理员cookie。 位置在 data/kindeditor/php/upload_json.php中： [<img src="https://images.seebug.org/upload/201405/12154429cf8796ac52070f8a8a2e7c96070e64f8.jpg" alt="03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12154429cf8796ac52070f8a8a2e7c96070e64f8.jpg) 不过有几点要说明的。 01.如果kindeditor目录下不存在attached目录的话，没法真正上传成功。但只要管理员在后台发表过文章（基本上只要这个站是活的），就会有这个目录。 02.如果attached目录下没有file目录的话，可以先访问data/kindeditor/php/file_manager_json.php?dir=file创建这个目录。 ### 漏洞证明： 单说不可信，我个使用phpyun的系统做试验吧~ 当然是演示站：http://www.hr135.com/ 先访问http://www.hr135.com/data/kindeditor/php/file_manager_json.php?dir=file看看是否有file这个目录，没有则创建。 [<img src="https://images.seebug.org/upload/201405/12155302ba8829a5495d1e965ef882832b8477ce.jpg" alt="04.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12155302ba8829a5495d1e965ef882832b8477ce.jpg) 再本地构造上传表单： ``` None ``` 上传成功，返回地址： [<img src="https://images.seebug.org/upload/201405/121554575a17e3d2001cd4369ac6fe1b96e6853f.jpg" alt="05.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/121554575a17e3d2001cd4369ac6fe1b96e6853f.jpg) 我上传了一个html文件，里面包含了弹窗的javascript代码。访问弹出了： [<img src="https://images.seebug.org/upload/201405/121555433803a80642b8420810f0c22fa7e27d67.jpg" alt="06.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/121555433803a80642b8420810f0c22fa7e27d67.jpg) 地址在这：http://www.hr135.com/data/kindeditor/attached/file/20140512/20140512153831_12960.html 这只是弹个窗，如果是盲打或者钓鱼，后果十分严重。