漏洞范围
EmpireCMS 全版本 <7.5
漏洞POC
http://*******/e/ViewImg/index.html?url=javascript:alert(/xss/)
漏洞复现
朴实无华又枯燥的周三,离放假还有两天,今天工作内容(已授权)还是渗透,发现一个倒霉站点,RCE直接getshell了,因为无聊,所以找点低危漏洞凑个周报字数。
1、正常访问站点:
2、打个payload完事:
3、点击图片触发XSS:
漏洞分析
漏洞存在的文件是在/e/ViewImg/index.html。
分析代码:通过window.location获取当前url地址,根据传入的url参数,获取当前参数的起始位置和结束位置。
代码没有对url的参数做过滤就直接拼接成a和img标签的属性的值,因此可以构造payload:? ?url=javascript:alert(/xss/)
例如,地址是:index.html?url=javascript:alert(document.cookie),经过Request函数处理就变成javascript:alert(document.cookie)
具体代码大家去这里下载CMS搭建来玩玩:
/download/