0x01_XSS
齐博采用的富文本编辑器为CKeditor,其实本身在其他常见输入点已经做了过滤,但是在fuzz测试的时候发现编辑器在编辑源码提交后未过滤,所以整套系统适用编辑器的地方均可利用。比如短消息处(可指定***目标用户)

%E9%BD%90%E8%96%843.jpg

%E9%BD%90%E8%96%84cms1.jpg

%E9%BD%90%E8%96%842.jpg

发布文章等地方也用到这个编辑器,同样可以利用
%E9%BD%90%E8%96%844.jpg

0x02_getshell

 %E9%BD%90%E8%96%847.png

 %E9%BD%90%E8%96%845.png

 %E9%BD%90%E8%96%846.png

齐博cms可以在后台开启静态模式,但是静态文件后缀名可自己定义,换成php后解析无误



0x03_xss结合后台getshell

 

抓包看下后台getshell,结合之前xss getshell的payload可写出针对齐博CMS_V7的xss getshellpayload

 

(我才不会说是因为我太懒了不想去抓包改写payload=。=23333)

转自:http://www.2cto.com/Article/201312/266906.html