某CMS存储型XSS审计学习

于 2024-07-08 20:36:52 发布
阅读量334 收藏 4
点赞数 4
文章标签: xss 学习 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44513407/article/details/140278191
版权

前言:

Jspxcms9.0版本留言处存在存储型XSS漏洞,现复现审计一下源码以及原因。

漏洞复现:

用户评论处

浅测一下

复现成功

代码审计:

F12查看请求包是/comment_submit接口,参数是text

找到/comment_submit接口,发现

text = sensitiveWordService.replace(text);//过滤输入

comment.setText(text);//过滤后的文本


@RequestMapping(Constants.SITE_PREFIX_PATH + "/comment_submit")
public String submit(@PathVariable String siteNumber, String fname,
       String ftype, Integer fid, Integer parentId, String text,
       String captcha, HttpServletRequest request,
       HttpServletResponse response, org.springframework.ui.Model modelMap)
       throws InstantiationException, IllegalAccessException,
       ClassNotFoundException {
    siteResolver.resolveSite(siteNumber);
    User user = Context.getCurrentUser();
    Response resp = new Response(request, response, modelMap);
     ………………………………………………省略
    if (StringUtils.isBlank(ftype)) {
       ftype = Info.COMMENT_TYPE;
    }


   //    这里传入
    text = sensitiveWordService.replace(text);
    Comment comment = (Comment) Class.forName(fname).newInstance();
    comment.setFid(fid);
    comment.setText(text);
    comment.setIp(Servlets.getRemoteAddr(request));
}

追踪sensitiveWordService.replace方法逻辑是判断text为空或空格,直接返回text。否则进行遍历。

word.getName():获取当前敏感词对象的敏感词字符串。

word.getReplacement():获取当前敏感词对象指定的替换字符串。如果没有指定替换字符串 (null),则使用空字符串 "" 进行替换。

StringUtils.replace(s, word.getName(), replacement):使用 Apache Commons Lang 库中的 StringUtils.replace 方法,将字符串 s 中的敏感词 word.getName() 替换为 replacement。

敏感词在哪里呢,追踪getReplacement()与getName(),这里用了JPA,最后追踪到cms_sentive_word表的f_name与f_replacement。

到sql数据库查询,所有值都为空,所以会造成存储型XSS,如果维护做好过滤,则可修复此漏洞。

Mr丨坤
关注
RCE姿势学习:从存储XSS漏洞到RCE利用
2301_79205724的博客
08-31 511
很多同学在挖掘漏洞的中期都会有一个疑问:为什么别人挖到的都是高危或者严重漏洞,而我总是只能挖到一些信息泄露或者常规的XSS呢?来询问这个问题的人其实非常非常多,但其实归根结底都是一个原因,漏洞没有深入利用。所以今天咱们就来学习一下大佬们是怎么利用一个XSS来RCE的思路吧。后续利用RCE的内容比较难,需要有一定编程能力才能比较好理解,所以前面说到漏洞没有深入利用的问题,其原因百分之八十是源于你基础不够扎实,你的“地基”决定了你的高度,所以呀学习千万不能图快学成个脚本小子哦。
【Java代码审计】文件包含触发XSS漏洞
最新发布
网络安全从业者的学习笔记
09-28 216
审计XSS的思路大多数都是先锁定评论区,有些情况下会被页面进行过滤或者转义,但仍可以通过文件包含达到触发XSS的目的。
java开源的CMS系统jspxcms
01-09
java开源的CMS系统之一jspxcms,有效的提交开发效率
BBS(仿博客园系统)项目04(文章详情页根评论、子评论的功能实现)
weixin_34248849的博客
06-24 1377
摘要: 根评论(文章的普通评论) 子评论(一篇文章中评论的评论) 一、根评论(普通的评论) ①文章详情下方点赞的下方评论区页面的搭建(渲染): article_detail.html页面: {# 评论开始#} {# 用户如果登录,才具有评论的权力,否则评论页面不予显示#} {% if request.user.is_authenticated %} ...
三层内网 外网打点到内网域 sec123 复现
qq_53742230的博客
08-26 4045
本次项目模拟渗透测试人员在授权的情况下,对目标进行渗透测试,从外网打点到内网横向渗透,最终获取整个内网权限。本次项目属于三层代理内网穿透,会学习到各种内网穿透技术,cobalt strike在内网中各种横行方法,也会学习到在工具利用失败的情况下,手写exp获取边界突破点,详细介绍外网各种打点方法。jsp 代码审计编写解密脚本frp 端口映射的使用fscan 内网扫描器的使用cobalt strike 的使用hydra 爆破神器的使用1433 MSSQL 爆破MSSQL 执行cmd命令。...
Jspxcms 安装包 v9.0.0 tomcat版
10-12
Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、JspCMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java
存储XSS与DOMXSS
qq_68233961的博客
08-30 1148
存储XSS与DOMXSS
存储XSS
m0_51313985的博客
05-25 6577
持久/存储XSS:嵌入到web页面的恶意HTML会被存储到应用服务器端,简而言之就是会被存储到数据库,等用户在打开页面时,会继续执行恶意代码,能够持续的攻击用户; 前面的文章讲到了XSS,但是不清楚弹窗有什么用,在此强调下,弹窗只是证明那个地方存在xss,就和SQL注入单引号报错或者and 1=1;and 1=2一样 xss =>跨站脚本攻击=>前端代码注入=>用户输入的数据会被当做前端代码执行。 存储:用户输入的数据会被存入数据库,然后页面输出时会被当做前端代码执行。 如果用户输入
YXcms-含有存储XSS漏洞的源码包
03-17
"YXcms-含有存储XSS漏洞的源码包" 这个标题揭示了我们要讨论的核心内容。YXcms是一个内容管理系统(CMS),它不幸地包含了存储跨站脚本(Stored XSS)的安全漏洞存储XSSXSS攻击的一种类,这种漏洞通常...
Jspxcms 源码包 v9.0.0
10-12
Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、JspCMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java
Jspxcms网站内容管理系统 源码包 v9.0.0.zip
07-06
Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、JspCMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java CMS,依托Java的开源精神和强大的企业级功能,开创Java CMS的新时代。 Jspxcms网站内容管理系统 源码包 v9.0.0 更新日志 改进(Improvement) 1、在站点设置里可以增加手机模板修改,不用到站点管理里修改。 2、sql脚本增加commit语句,避免因为执行脚本时为提交导致数据没有正确插入。 3、pom.xml里增加tomcat7启动插件,方便希望使用tomcat7插件启动的用户。 4、文档管理自动获取描述长度增加到最长的450字符。 5、友情链接列表logo限制大小,避免logo尺寸过大导致页面显示不好看。 6、InfoPage和NodePage标签增加p0参数。 7、升级MySQL驱动,支持MySQL5.7。 缺陷(Bug) 1、修复:后台右上角小房子图标的前台首页链接在多站点情况下,切换站点后无变化。 2、修复:文档管理标题图、属性图、图集在火狐下点击上传按钮无反应。 3、修复:文件管理搜索功能没有保留当前文件夹路径。 4、修复:后台左侧菜单没有屏蔽无权限的菜单。 5、修复:开启页面静态化后,某些栏目生成了HTML,但还会显示HTML待更新。 6、修复:文档管理doc上传按钮位置不正确。 7、修复:有上下文路径时,站点静态首页地址多了一个上下文路径。 8、修复:谷歌某些版本的浏览器点击文档管理图片选择按钮无效。 9、修复:后台任务管理翻页列表固定不变。 10、修复:修改组织报错。 Jspxcms网站内容管理系统功能列表: 1、文档。(新闻、图集、下载、视频、作品、文库、招聘等) 2、栏目。(无限级数栏目管理) 3、文件。(zip上传自解压、zip打包下载、模板、图片、js、css) 4、生成。(全文检索、页面静态化、定时任务、任务管理) 5、模块。(文档属性管理、专题类别管理、专题管理、TAG管理、评论管理、敏感词管理、评分组管理、附件管理) 6、扩展。(友情链接类管理、友情链接管理、留言板类管理、留言板管理、广告版位管理、广告管理、投票管理) 7、插件。(简历管理、数据库备份) 8、统计。(流量分析、受访访问、访问日志) 9、用户。(用户管理、角色管理、会员组管理、组织管理、全局用户管理、全局组织管理) 10、系统。(网站设置、系统设置、站点管理、模管理、文档属性、工作流组、工作流、发布点、操作日志) 主要技术:SpringMVC3.2、Spring3.2、JPA2.0、JSP2.0、Freemarker2.3、Spring Data JPA,QueryDSL、Shiro、Lucene等。 技术亮点:JPA、Spring Data JPA、QueryDSL组成的无比简洁高效的持久化技术;Shiro安全框架;Lucene近实时检索;Freemarker模板技术;仿Gmail验证码等。 Jspxcms网站内容管理系统页面截图展示  相关阅读 同类推荐:CMS系统
jspxcms内容管理系统CMS
04-03
jspxcms是一个开源的、基于Java的内容管理系统(CMS),技术上选择JavaEE行业最先进、最主流、最稳定的技术,非常适合二次开发、功能扩展、插件开发。使用的技术包括SpringMVC 3.1、Spring 3.1、Hibernate 3.6、JSP 2.0和Freemarker 2.3等。 jspxcms-5.1.0-release.zip jspxcms-5.1.0-release-eclipse.zip jspxcms-5.1.0-release-src.zip
Jspxcms网站内容管理系统 安装包 v9.0.0 tomcat版.zip
07-06
Jspxcms简介 Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、JspCMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java CMS,依托Java的开源精神和强大的企业级功能,开创Java CMS的新时代。 jspxcms-5.1.0-release-tomcat中包含tomcat,避免因为tomcat版本和部署导致的错误。 只要电脑中装有jdk和mysql,就可以安装,无需另外下载tomcat。 Jspxcms安装说明: 1、下载安装包并解压之后,运行tomcatbinstartup.bat; 2、进入网站首页(如:http://localhost:8080/),按提示安装; 3、安装完成后,根据系统提示重启tomcat。(运行tomcatbinshutdown.bat关闭tomcat,之后再运行tomcatbinstartup.bat启动tomat) Jspxcms网站内容管理系统 安装包 v9.0.0 tomcat版 更新日志 改进(Improvement) 1、在站点设置里可以增加手机模板修改,不用到站点管理里修改。 2、sql脚本增加commit语句,避免因为执行脚本时为提交导致数据没有正确插入。 3、pom.xml里增加tomcat7启动插件,方便希望使用tomcat7插件启动的用户。 4、文档管理自动获取描述长度增加到最长的450字符。 5、友情链接列表logo限制大小,避免logo尺寸过大导致页面显示不好看。 6、InfoPage和NodePage标签增加p0参数。 7、升级MySQL驱动,支持MySQL5.7。 缺陷(Bug) 1、修复:后台右上角小房子图标的前台首页链接在多站点情况下,切换站点后无变化。 2、修复:文档管理标题图、属性图、图集在火狐下点击上传按钮无反应。 3、修复:文件管理搜索功能没有保留当前文件夹路径。 4、修复:后台左侧菜单没有屏蔽无权限的菜单。 5、修复:开启页面静态化后,某些栏目生成了HTML,但还会显示HTML待更新。 6、修复:文档管理doc上传按钮位置不正确。 7、修复:有上下文路径时,站点静态首页地址多了一个上下文路径。 8、修复:谷歌某些版本的浏览器点击文档管理图片选择按钮无效。 9、修复:后台任务管理翻页列表固定不变。 10、修复:修改组织报错。 Jspxcms页面截图展示    相关阅读 同类推荐:CMS系统
Jspxcms 源码包 v9.5.1
10-27
Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、JspCMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java CMS,依托Java的开源精神和强大的企业级功能,开创Java CMS的新时代。 jspxcms v9.5.1 更新日志:1、文件管理save权限将save@web_file_xweb_file_x:save。2、修复文档管理中正文编辑器保存视频时,会过滤掉视频代码的问题。3、将站点导入允许的格式由xml改为zip。4、将MemberGroup的nodeGroups集合,由Set改为List。因为Set在add时会遍历所有元素的equals方法,导致延迟加载失效。5、doc导入按钮选择文件时,默认文件格式由docx改为doc和docx。6、增加模板异常不写入日志的配置示例。7、修复站群推送列表翻页跳转文档列表的问题。8、数据库配置文件增加数据库用户名密码示范,避免使用者误认为需要保留大括号。
zzcms2019存储xss漏洞审计(超详细)
Cvjark的博客
03-27 1119
存储xss漏洞复现 function stripfxg($string,$htmlspecialchars_decode=false,$nl2br=false) { $string=stripslashes($string); if ($htmlspecialchars_decode==true){ $string=htmlspecialchars_decode($string);//转html实体符号 } if ($nl2br==true){ $string=nl2br($
代码审计:KKCMS 存储 xss 漏洞复现
qq_43233085的博客
05-13 861
代码审计:KKCMS 存储 xss 漏洞复现安装cmsbook.php 留言板处xssyoulian.php 友情链接申请处xss 安装cms 下载地址:https://github.com/wangyifani/kkcms/ 程序开发环境: apache2.0 php5.6.40 mysql5.5 程序建议使用环境: linux系统使用nginx1.12及以上, Windows系统使用apache 1.8以上 php统一使用php5.6版本 mysql使用5.0及以上版本 后台默认密码admin和12
实战审计cms之CSRF——CSRF+Xss+Flash钓鱼
hackzkaq的博客
05-18 549
更多渗透技能 欢迎搜索公众号:白帽子左一 作者:掌控安全-holic 前言 CSRF感觉似乎很不值钱的样子,我前几天审计出了3个后台存储xss+csrf 然后cnvd跟我说不收csrf和后台存储xss,自此后台我从不找xss和csrf 但是毕竟作为目前毕竟出名流行的一个漏洞,还是讲解一下,我会讲的很简单,ojbk 0x01 CSRF介绍 CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造 CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操
深入理解存储XSS:成因、挖掘与防护
"这篇文档详细介绍了存储XSS(Cross-Site Scripting)的成因、挖掘方法以及其潜在的危害和攻击方式。" 在网络安全领域,XSS攻击是一种常见的Web应用安全漏洞,它允许攻击者在用户的浏览器上执行恶意脚本。XSS分为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值