empirecms

empirecms
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
代码审计 | Empire CMS v7.5前台XSS漏洞 q6013338242018-07-22现金奖励共148448人围观 ，发现 6 个不明物体 漏洞
*本文原创作者：q601333824，属于FreeBuf原创奖励计划，转载请注明来自FreeBuf.COM

概述
帝国CMS简称Empire CMS，当前的最新版本为7.5，前几天挖过一个该CMS的后台漏洞，最近也去挖了前台XSS，发现前台有一处过滤不完整导致的XSS漏洞。

相关环境
源码信息：EmpireCMS_7.5_SC_UT

漏洞类型：反射型XSS

下载地址：http://www.phome.net/download/

漏洞文件：/e/ViewImg/index.html

漏洞分析
1、该文件不是PHP文件，只是普通html静态文件，但是其中有一段代码存在漏洞,代码大概的意思是通过Request函数获取地址栏的URL参数，并作为img和a标签的,src属性和href属性，然后经过document.write输出到页面。

image.png2、跟踪Request函数,该函数大概的流程，就是通过window.location获取当前地址，根据传入的url参数,获取当前地址url参数起始位置和结束位置。

例如，我的地址是：index.html?url=javascript:alert(document.cookie)，经过处理之后得到javascript:alert(document.cookie)。

image.png

3、最后经过document.write函数输出到页面，得到a标签和img标签，并且href和src的值,就是返回的javascript:alert(document.cookie)。

image.png

4、根据触发规则，可以进行点击图片位置即可触发，网上找了两个网站实例。

image.png

image.png
利用方法

1、有人会说利用点太小了，不好触发，可以参考我以前某云提交的漏洞 WooYun-2014-73258，通过两次框架嵌套可以使XSS位置随意移动，方便触发。

http://wooyun.jozxing.cc/static/bugs/wooyun-2014-073258.html

2、详细利用代码如下，第一段代码，效果如下：

image.png
3、第二段代码如下，嵌套前面的代码实现任意位置移动。

→→→→→→→→→→←←←←←←←←←←

4、两段代码最终效果如下。

image.png
5、GIF动态测试效果如下,以前我觉得这种利用方法很逗比，但是现在我也觉得这种利用方法很逗B……

11.gif

总结
1、总的概括,漏洞内容就是,javascript获取url的参数，没有经过任何过滤，直接当作a标签和img标签的，href属性和src属性输出。

2、至于利用方法，是几年前无聊想的，所以拿来用用。

*本文原创作者：q601333824，属于FreeBuf原创奖励计划，转载请注明来自FreeBuf.COM

q601333824
q601333824
3 篇文章
等级： 2级
||
上一篇：从一道CTF题看智能合约的安全问题下一篇：Apache Shiro 1.2.4反序列化漏洞分析
发表评论已有 6 条评论

bb 2018-07-22回复 1楼
你用iframe就变成存储型的了？跨域资源访问了解一下？iframe能读取cookie？

亮了(1)

q601333824 (2级) 专注XSS漏洞 2018-07-22回复
@ bb 你怕是没看明白，iframe只是方便点击而已， 实际触发在对方域名

亮了(3)

xss 2018-07-22回复 2楼
有啥用，，，，，求告诉

亮了(0)

q601333824 (2级) 专注XSS漏洞 2018-07-22回复
@ xss 如果网站没有设置httponly, 你可以直接试试打cookie, 如果有设置，可以看看哪些接口是有用的，js 请求试试，如果碰到比较懒的管理员，就使用默认的路径，知道后台地址，如果管理员也正好登录，可以试试请求后台接口页面，有没有敏感信息，后台和前台在同一域名下，前台xss 应该是可以请求到后台的，只要js 代码可以实现的功能，你都可以试试，我说的这些是基本用法

亮了(4)

死宅10086 (7级) 2018-07-22回复 3楼
666

亮了(3)

dlydk (1级) 2018-07-23回复 4楼
你随便上个实例就更好了。 这个XSS 确实给力。

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
q601333824
q601333824

专注XSS漏洞

3
文章数
4
评论数
最近文章
代码审计 | DedeCMS v 5.7 sp2 RemoveXSS bypass
2018.08.30

代码审计 | Empire CMS v7.5前台XSS漏洞
2018.07.22

代码审计 | Empire CMS v7.5后台XSS漏洞
2018.07.06

浏览更多
相关阅读
代码审计 | Empire CMS v7.5前台XSS漏洞代码审计 | Empire CMS v7.5后台XSS漏洞Snuck：一款自动化XSS漏洞扫描工具（含下载）
由HITCON 2016一道web聊一聊php反序列化漏洞数千万WordPress和Drupal站点存在DDoS风险
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank