帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析

一、漏洞描述

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号),还有addslashes函数处理,但是没有对任何恶意关键字进行过滤,从而导致攻击者使用别的关键字进行攻击。

二、漏洞复现

1、漏洞出现的页面在/e/admin/openpage/AdminPage.php,浏览漏洞页面代码,发现使用hRepPostStr函数对leftfile、title、mainfile参数进行处理

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第1张

2、跟进hRepPostStr函数,发现htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号)

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第2张

3、继续浏览代码,发现使用CkPostStrChar函数对参数进行处理

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第3张

4、跟进CkPostStrChar函数,处理编码字符

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第4张

5、继续浏览代码,发现又使用了AddAddsData函数对参数进行处理

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第5张

6、跟进AddAddsData函数,分析代码:如果没有开启magic_quotes_gpc函数,就使用addslashes函数对参数中的特殊字符进行转义处理

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第6张

7、继续浏览代码,发现在网页输出时, $leftfile、$mainfile参数的输出位置是iframe标签的src里面,由于代码没有对别的恶意字符进行处理,此时可以构造javascript:alert(/xss/),iframe标签可以执行javascript代码,此时就会触发XSS代码。

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第7张

8、浏览器访问构造的payload,提示非法来源

Payload: http://192.168.10.171/empirecms/e/admin/openpage/AdminPage.php?mainfile=javascript:alert(/xss/)

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第8张

9、此时发现别的页面url地址中都会存在hash参数,例如ehash_f9Tj7=ZMhwowHjtSwqyRuiOylK,这个参数是随机生成的,如果缺少这个参数,会提示非法来源

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第9张

10、再次构造payload,浏览器访问,成功触发XSS

Payload: http://192.168.10.171/empirecms/e/admin/openpage/AdminPage.php?ehash_f9Tj7=ZMhwowHjtSwqyRuiOylK&mainfile=javascript:alert(/xss/)

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第10张

11、通过XSS漏洞获取cookie

http://192.168.10.171/empirecms/e/admin/openpage/AdminPage.php?ehash_f9Tj7=ZMhwowHjtSwqyRuiOylK&mainfile=javascript:alert(document.cookie)

  帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 Safe 第11张

 

 

 

 

-----------------------------------------------------------------------------

参考: https://www.freebuf.com/vuls/176313.html

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄