蝉知CMS 7.X XSS漏洞复现

个人博客地址:xzajyjs.cn

作为一个开源的企业门户系统(EPS), 企业可以非常方便地搭建一个专业的企业营销网站，进行宣传，开展业务，服务客户。蝉知系统内置了文章、产品、论坛、评论、会员、博客、帮助等功能，同时还可以和微信进行集成绑定。功能丰富实用，后台操作简洁方便。蝉知系统还内置了搜索引擎优化必备的功能，比如关键词，摘要，站点地图，友好路径等，使用蝉知系统可以非常方便的搭建对搜索引擎友好的网站。

今天就对他的早期版本7.x的xss漏洞进行复现。

进到他的主页，先观察到有留言板，可以考虑是否存在存储型xss。但由于需要管理员授权通过才会显示在首页，虽然可以考虑偷取管理员的cookie进行越权登录，但这里不是我们的重点。

观察到搜索框，先随便输入一个正常的数值，haha123，查看他的前端代码。

他对于我输入的结果的闭合关系是:

<input type='text' name='words' id='words' value='haha123' class='form-control' placeholder='' />

尝试通过人为的闭合来破坏它的结构。

haha123'/><img '

添加到搜索框后显示bad request，显然是被他的防火墙拦截了。尝试通过url编码进行绕过。进行一次编码后提示有了变化，直接404了，接着第二次url编码，就成功绕过，再次查看前端代码。

发现他把我们的<img ’ 过滤了，因此将<img '先进行一次url编码，再整体二次编码，就能成功绕过。之后加入恶意代码即可。

haha123'><img src=x οnerrοr='alert(1)

或者直接最经典的(也是和上面一样的共三次编码)

haha123'><script>alert(1)</script>

或者直接鼠标拂过搜索框的haha123触发。

haha123' οnmοuseοver='alert(1)