這一套源碼與網上那些X站CMS都是一致�����,那么在奇安信社區上看到了這款�,那么也來玩玩����,這一套源碼的話基本的都是存在后臺提權���、存儲xss��、反射XSS�、弱口令(至于弱口令這塊一般安裝后直接使用admin����、admin或者某cms名稱直接進行登錄�����,那么我們登錄進行也是直接忽略過爆破這一段)
1��、儲存XSS
廣告設置這塊基本都存在儲存xss���。
利用:將廣告圖片的URL/…/…/…/<XSS語句>
可以看到�,在廣告這塊儲存也是沒有做任何一個過濾的���,直接觸發彈窗���。
2�����、反射XSS
看源碼我發現了echo輸出存在可控變量���,; echo safeRequest($_GET['Play']);?>';
Get Play��?那么直接使用Play構造一個payloda
http://192.168.22.1/Static/Home/VideoJS/index.php?Play=
發現沒有彈窗��,那么審查元素���,在底部 xss語句使用了:"+alert('XSS')+", 那么在元素源碼那看到了+ < >號基本被過濾掉了
為了找到過濾的源碼���,在站的根目錄發現了一個index.php的文件
并且找到引入輔助行數文件��,Helper.php�����,可以知道我們剛才嘗試的時候沒有彈窗的原因就在這里�。下面的圖�����,我已經把函數注釋寫出來了��。
所以我將去除帶有威脅性的符號:';alert(1);'����,那么這塊開始我也是沒有頭像看了這編文章的第3段內容����,才反應過來:https://forum.butian.net/share/1160
3.Php代碼執行
路徑位置:Home/Basic/Statistics
<?php
if (isset($_POST['submit']) && isset($_POST['Statistics'])) {
$file = fopen("../JCSQL/Admin/Basic/AdminStatistics.php","w");
fwrite($file,$_POST['Statistics']);
fclose($file);
?>
<script language="javascript">
<!--
fwrite($file,$_POST['Statistics']); //值得注意的一段代碼
