php 点击alert确定后执行_bolt cms V3.7.0 xss和远程代码执行漏洞

最新推荐文章于 2022-11-30 14:21:34 发布
最新推荐文章于 2022-11-30 14:21:34 发布
阅读量158 收藏
点赞数
文章标签: php 点击alert确定后执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39722917/article/details/111654858
版权

导航:

1. 漏洞环境搭建2.  漏洞分析3. 漏洞测试3.1. xss3.2. 远程代码执行4. 影响版本5. 防御方案

1. 漏洞环境搭建

github上下载对应版本,这里下载3.7.0.

https://github.com/bolt/bolt/releases

解压后需要重命名以下文件:

mv .bolt.yml.dist .bolt.ymlmv composer.json.dist composer.jsonmv composer.lock.dist composer.lockmv src/Site/CustomisationExtension.php.dist src/Site/CustomisationExtension.php

为了快速搭建这里使用phpstudy,开启apache和mysql

0db283f633c66b6317fd427ddf3d8258.png

点击网站,创建站点,选择好php版本并创建数据库,记住域名、数据库名称、用户名和密码

f9fc0ec5f2275fe35fb1f3dc8d8808c2.png

配置数据库app/config/config.yml。填好数据库名称、用户名和密码然后保存

bfe4270f5a9d5801bf93828e85f664b7.png

然后浏览器访问http://上面自己设置的域名/public即可到安装页面,第一次需要设置管理员账号和密码

http://上面自己设置的域名/public        http://上面自己设置的域名/public/bolt  # 管理地址

e45fa75925a93cb8784531925c8edc24.png

2.  漏洞分析

1)XSS成因分析

该漏洞存在于vendor/bolt/bolt/src/Controller/Backend/Users.php。有两个变量$user和$userEntity用于存储和使用以显示此代码中的用户数据。$userEntity在传递给$form->isValid(),这表明$user有未编码的输入和$userEntity是具有编码的输入。也就是说使用$user未对用户输入编码,使用$userEntity可以对用户输入编码。

下面代码使用

$user->getDisplayName()而不是$userEntity->getDisplayName(),显示未编码的用户输入,所以导致XSS。

switch ($action) {        case 'disable':            if ($this->users()->setEnabled($id, false)) {                $this->app['logger.system']->info("Disabled user'{$user->getDisplayname()}'.", ['event' => 'security']);$this->flashes()->info(Trans::__('general.phrase.user-disabled', ['%s'=> $user->getDisplayname()]));            } else {$this->flashes()->info(Trans::__('general.phrase.user-failed-disabled',['%s' => $user->getDisplayname()]));            }            break;        case 'enable':            if ($this->users()->setEnabled($id, true)) {                $this->app['logger.system']->info("Enabled user'{$user->getDisplayname()}'.", ['event' => 'security']);$this->flashes()->info(Trans::__('general.phrase.user-enabled', ['%s'=> $user->getDisplayname()]));            } else {$this->flashes()->info(Trans::__('general.phrase.user-failed-enable',['%s' => $user->getDisplayname()]));            }            break;        case 'delete':            if ($this->isCsrfTokenValid() && $this->users()->deleteUser($id)) {                $this->app['logger.system']->info("Deleted user'{$user->getDisplayname()}'.", ['event' => 'security']);$this->flashes()->info(Trans::__('general.phrase.user-deleted', ['%s'=> $user->getDisplayname()]));            } else {$this->flashes()->info(Trans::__('general.phrase.user-failed-delete',['%s' => $user->getDisplayname()]));            }            break;        default:            $this->flashes()->error(Trans::__('general.phrase.no-such-action-for-user',['%s' => $user->getDisplayname()]));    }

2)远程代码执行成因分析

 public function rename($path, $newPath){        $path = $this->normalizePath($path);        $newPath = $this->normalizePath($newPath);        $this->assertPresent($path);        $this->assertAbsent($newPath);        $this->doRename($path, $newPath);    }

normalizePath()函数在第823行acts的同一文件中定义作为Flysystem的normalizePath()函数的包装器。已经习惯了

获取文件的“真实”路径。这用于验证文件位置等等。

例如,./somedir/../text.txt == ./text.txt == text.txt

所以'./text.txt' 传递给此函数,它返回 'text.txt'

所以,从文件名 'backdoor.php/.' 将其传递给normalizePath()它返回 'backdoor.php' ,这正是我们所需要的。

所以数据流看起来,首先是值'backdoor.php/.' 传递给validateFileExtension()返回NULL,因为后面没有文本最后一个点。所以,extesion过滤器被绕过了。接下来,相同的值是传递给normalizePath(),它删除最后一个“/.”,因为它看起来像它是指向当前目录的路径。最后,文件被重命名为'backdoor.php'

3. 漏洞测试

3.1. xss

构造payload

xxxxxxxxxx POST /preview/page HTTP/1.1Host: localhost    contenttype=pages&title=title&slug=testpage1&teaser=teaser1&body=

267efa7a17b64295b041275925f9a7c1.png

4b83357648b5fc6884ed341201604158.png

3.2. 远程代码执行

创建一个文件,然后编辑这个文件,写入木马保存。

5aa5ac9bbb696b3973d78709c1a3bda4.png

985c5a4e05e97e1ecd74000d02dde5fb.png

然后将shell.html重命名危shell.html.php\.

8069c4586a7906c977133959e7c942eb.png

即可变成shell.html.php

17185b3a442d92a4fde508f847443932.png

访问该文件即可执行命令

5c40741b20acced65634d3359a1b3f91.png

4. 影响版本

Bolt CMS<= 3.7.0

5. 防御方案

     1. XSS        使用具有编码值的变量来显示用户信息。使用$userEntity而不是$user     2. RCE        重命名时更改数据流。先把数据传过来normalizePath()数据,然后通过validateFileExtension()。这样,验证函数验证最终值。
1d30030350184b12f18c7095e47aacba.gif

相关实验:

WordPress social-warfare插件XSS和RCE漏洞

https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECIDd94d-9f25-44de-bcbb-869ec08838c4

通过实验了解WordPresssocial-warfare插件XSS和RCE漏洞的成因和利用方法,学会在无需身份验证的情况下实现对网站和服务器的控制。

有才能的你快来投稿吧!

投稿细则都在里面了,点击查看哦

重金悬赏 | 合天原创投稿涨稿费啦!

7287c8d1f0ae6dcd2d405dc2e9d63b3b.png eeae49ededf8d8d4a9f42cd88dcbfa09.gif

温馨提示:8月10日-8月14日,课堂用户购课使用京东白条支付将享受【立减60优惠】。

584f992d007957879945af94397841d5.gif
weixin_39722917
关注
php 点击alert确定执行_Selenium界面自动化测试(7)(Python):JavaScript对话框处理及脚本执行...
weixin_39613089的博客
12-20 317
Selenium提供了对原生JavaScript对话框的处理。假设有如下HTML代码:<div> <button onclick="alert('警告对话框!')">警告对话框button> <button onclick="confirm('选择对话框!')">选择对话框button> <button onclic...
bolt cms V3.7.0 xss远程代码执行漏洞
ordar123的博客
08-30 1023
bolt cms V3.7.0 xss远程代码执行漏洞 文章目录bolt cms V3.7.0 xss远程代码执行漏洞1. 漏洞环境搭建2. 漏洞分析3. 漏洞测试1. xss2. 远程代码执行4. 影响版本5. 防御方案6. 漏洞细节参考 1. 漏洞环境搭建 github上下载对应版本,这里下载3.7.0. https://github.com/bolt/bolt/releases 解压后需要重命名以下文件: mv .bolt.yml.dist .bolt.yml mv composer.json
转载:bolt cms V3.7.0 xss远程代码执行漏洞
qq_43233085的博客
08-14 531
转载:bolt cms V3.7.0 xss远程代码执行漏洞漏洞环境搭建漏洞分析XSS成因分析远程代码执行成因分析漏洞测试xss远程代码执行影响版本防御方案 漏洞环境搭建 github上下载对应版本,这里下载3.7.0. https://github.com/bolt/bolt/releases 解压后需要重命名以下文件: mv .bolt.yml.dist .bolt.yml mv composer.json.dist composer.json mv composer.lock.dist compo
php 点击alert确定执行_使用Vue3.0新特性造轮子 WidgetUI3.0 (Alert组件)
weixin_39608300的博客
12-12 232
基本使用 Alert({ title: "vue3.0", content: "当前版本 vue3.0.0-beta.1", btns: [ { text: "确定", handle: () => { console.log("你点击确定"); ...
php弹出确认后往下执行,如何让switch语句跳出后向下执行
weixin_35041185的博客
04-02 158
$type=$_POST['type'];//直接看类型获取对应数据 无需登录switch ($type){case 1: //sql读数据1 $acase 2: //sql读数据2 $a}if($a){} //读出数据有就返回 没有就返回错误 die;if($user){} //验证是否登录//登陆后才能依类型获取的数据switch ($type){case 3: xxxxxxx $b...
解决js代码中加入alert()就成功执行,不加就不对的问题!
热门推荐
岁寒松柏
11-02 1万+
因为return false的作用域在each循环中,它只起到了结束当前循环的作用,相当于break,并没有返回任何类型的值 转众多网友意见 问题:          我是做一个回车事件处理,翻页的那种,在一个页面上成功了,换到另外两个页面上就出错了。反正就是跳到1,如果加上alert(),就跳转成功。 可能情况:          这种情况一般出现在 alert
bolt_cms_V3.7.0_xss远程代码执行漏洞1
08-03
在本文中,我们将探讨Bolt CMS V3.7.0中存在的XSS(跨站脚本攻击)和远程代码执行漏洞Bolt CMS是一个基于PHP的内容管理系统,它在处理用户输入时存在的安全疏漏可能导致恶意攻击者利用这些漏洞进行一系列的攻击...
SoeHoe.ID_Spartan_Bolt EA.rar_METATRADER4_SPARTAN BOLT_SoeHoe.ID
07-13
《Spartan Bolt EA在MetaTrader 4平台的威力与应用》 Spartan Bolt EA,全称为"Spartan Bolt Expert Advisor",是一款专为MetaTrader 4 (MT4)交易平台设计的自动化交易策略程序。它由SoeHoe.ID开发,旨在为交易者...
LS-DYNA_Bolt_Pre-Load_2019.pdf
05-17
LS-DYNA Bolt Pre-Load 方法详解 LS-DYNA 是一种广泛应用于结构仿真和碰撞分析的Finite Element Analysis(有限元分析)软件。其中,螺栓预紧是结构设计和分析中非常重要的一步。LS-DYNA 提供了多种螺栓预紧的方法...
「风险评估」SDLC_and_62443_Build_it_in_dont_bolt_it_on - 工控安全.zip
12-05
- 如何制定和执行工控系统的安全策略,包括风险评估、安全控制选择和实施、以及持续监控和改进。 - 实战案例研究,展示如何在实际项目中应用这些原则和标准。 - 建议的安全工具和技术,以支持安全开发和管理过程。 -...
使用BoltCMS构建小型企业网站
culh2177的博客
08-28 1104
As the web continues to mature and the demand for the efficiency of content delivery increases, more and more slim and trim CMSs are coming into the fray. Developers (front-end and back-end) are branc...
js代码中加入alert()就成功执行,不加就不对的问题!
KylinBL的专栏
01-06 2442
<br />问题:  <br />      我在做一个项目,有两个窗口,一个主窗口,一个在主窗口中用window.open打开的子窗口.现在需要在主窗口中处理完相应事件后,调用子窗口的相应的函数,来传递一些信息,并修改子窗口的一些内容。因为是在主窗口的javascript代码中做的,发现调用子窗口的函数后,子窗口的内容并没有改变,而在主窗口的javascript调用子窗口函数的代码前加入alert()执行后,子窗口内容正确的被改变了。        <br />可能情况: <br />         这
解决必须要alert一下,才生效的问题
my_Wade的博客(吃亏是福)
08-17 1941
例如: if(parseInt(status) == 201){ dhxWins.unload(); }在这段代码前面加上alert就可以运行了。 可能原因:这种情况一般出现在alert()之后的某个代码需要页面元素进行一定的状态才能使用,加上alert()之后,相当于页面元素有足够的事件进入一定的状态了,也就是说:必须给予alert()之后的代码足够的时间来进入一定的状态。
解决js代码中加入alert就成功执行请求接口,不加就不执行的问题
zuo_kaizheng的博客
11-30 563
**活动页面浏览量(PV)、浏览人数(UV)**/ function addpv(opttype) {url : '${ctx}/finedo/hallgift/addServiceRecord' , iswait : false , async : false , //默认开启true data : {} });关闭异步请求,async属性把默认的true 改为 false ,就可以请求数据。
php执行先后顺序_PHP程序执行的过程原理
weixin_39715997的博客
12-20 1118
为了以后能开发PHP扩展,就一定要了解PHP执行顺序。这篇文章就是为C开发PHP扩展做铺垫。Web环境我们假设为Apache。在编译PHP的时候,为了能够让Apache支持PHP,我们会生成一个mod_php5.so的模块。Apache加载这个模块,在url访问.php文件的时候,就会转给mod_php5.so模块来处理。这个就是我们常说的SAPI。英文名字是:Server Applicatio...
php代码中弹出alert,并确定后会退
释然乌托邦的专栏
12-07 4718
<br />print "<mce:script type="text/javascript"><!-- alert('erro');window.history.go(-1); // --></mce:script>";exit;
轻量级php cms,【程序分享】Bolt,一个优秀的轻量级CMS
weixin_36360511的博客
03-11 395
CMS是Content Management System(内容管理系统)的简称,广大博客主比较常听到这个词可能是因为一直为许多极客朋友诟病的那句牢骚“Wordpress越来越像CMS”。常见的CMS,国外的有Drupal,Joomla以及国内的DedeCMSPHPCMS等,在现在PHP大主流的前提下依然有一些老的ASP程序还在线上,但是退出历史的舞台基本已经大局已定,也许未来的.NET平台会助...
spout 和bolt关系_在Bolt CMS中记录检索和分页
culi3118的博客
08-29 413
spout 和bolt关系Bolt is a lightweight CMS built on Silex with Symfony components that’s fast, easy, and fun to develop with. My recent affinity for Bolt has turned it into my CMS of choice as I make a co...
PHP弹出确认框
weixin_33895695的博客
06-29 509
双选确认框,点击是跳转到yes.html,点击否跳转到no.html &lt;?php echo "&lt;script&gt; if(confirm( '请选择跳转页面,是跳转到yes.html 否跳转到no.html? ')) location.href='yes.html';else location.href='no.html'; &lt;/script&gt;"; ...
duanmian_hub_gearbox_bolt = max(df_duanmian.iloc[2:26, 5]) 解析代码
最新发布
06-14
这行代码的作用是从一个名为`df_duanmian`的DataFrame中选取第2行到第25行(不包含第26行)以及第5列的数据,然后取这些数据中的最大...最后,将返回值赋值给`duanmian_hub_gearbox_bolt`变量,完成了这行代码执行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值