VULHUB ™

### 简要描述： 最新版cmseasy存在存储型xss 版本：CmsEasy_5.5_UTF-8_20140415 ### 详细说明： 在bbs下的所有POST提交，都会经过bbs_public.php文件里的remove_xss函数过滤。如下： 可以看到所有POST数据会到dxss函数里 [<img src="https://images.seebug.org/upload/201404/2018380235929cc87c09523d3d675df5598ea7a1.jpg" alt="a.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/2018380235929cc87c09523d3d675df5598ea7a1.jpg) 跟进dxss，可以看到数据又来到了remove_xss里 [<img src="https://images.seebug.org/upload/201404/20183838251e9e07c86c8060827f1654a4eadaef.jpg" alt="b.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/20183838251e9e07c86c8060827f1654a4eadaef.jpg) 继续跟进remove_xss，从图中的1中可以看到remove_xss首先过滤了一些特殊符号，接着看图中2处，用循环做了一个html实体解码，接着在图中3处用了html_entity_decode再次进行了一次解码，然后用if判断判断如果还有html编码就exit。 [<img src="https://images.seebug.org/upload/201404/20194430442250aeed88cfd7d58ec1467027526b.jpg" alt="c.jpg" width="600"...

### 简要描述： 最新版cmseasy存在存储型xss 版本：CmsEasy_5.5_UTF-8_20140415 ### 详细说明： 在bbs下的所有POST提交，都会经过bbs_public.php文件里的remove_xss函数过滤。如下： 可以看到所有POST数据会到dxss函数里 [<img src="https://images.seebug.org/upload/201404/2018380235929cc87c09523d3d675df5598ea7a1.jpg" alt="a.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/2018380235929cc87c09523d3d675df5598ea7a1.jpg) 跟进dxss，可以看到数据又来到了remove_xss里 [<img src="https://images.seebug.org/upload/201404/20183838251e9e07c86c8060827f1654a4eadaef.jpg" alt="b.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/20183838251e9e07c86c8060827f1654a4eadaef.jpg) 继续跟进remove_xss，从图中的1中可以看到remove_xss首先过滤了一些特殊符号，接着看图中2处，用循环做了一个html实体解码，接着在图中3处用了html_entity_decode再次进行了一次解码，然后用if判断判断如果还有html编码就exit。 [<img src="https://images.seebug.org/upload/201404/20194430442250aeed88cfd7d58ec1467027526b.jpg" alt="c.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/20194430442250aeed88cfd7d58ec1467027526b.jpg) 问题来了，程序员有一些疏忽，在for循环里有对html十六进制和十进制格式进行处理，但是在if语句里却只判断了十进制格式。所以我们可以用如下语句绕过： 在bbs的标题或内容处填入： ``` <a href="java&#&#&#x0078;0078;0073;cript:alert(document.cookie)">点这里!!!</a> ``` 结果： [<img src="https://images.seebug.org/upload/201404/20194048738eea9be422a94eab7b9afc74763cb1.jpg" alt="d.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/20194048738eea9be422a94eab7b9afc74763cb1.jpg) 码字真辛苦，官人给点rank吧T_T ### 漏洞证明： [<img src="https://images.seebug.org/upload/201404/20194048738eea9be422a94eab7b9afc74763cb1.jpg" alt="d.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/20194048738eea9be422a94eab7b9afc74763cb1.jpg)