diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/README.md" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/README.md" new file mode 100644 index 0000000..ac0aac9 --- /dev/null +++ "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/README.md" @@ -0,0 +1,32 @@ +# DedeCMS_v5.7_shops_delivery_存储型XSS + +## Affected Version + +DedeCMS-V5.7-UTF8-SP2 ï¼? å‘布日期 2017-03-15 ï¼? + +下载地å€ï¼? 链接: https://pan.baidu.com/s/1bprjPx1 密ç : mwdq + + +## PoC + +该æ¼æ´žæ¯”较鸡肋,需è¦ç™»å½? 管ç†å‘˜åŽå°é€šè¿‡ 添加é…é€æ–¹å¼? 功能 æ‰èƒ½è§¦å‘ï¼? 添加åŽåœ¨å‰åŽå°éƒ½ä¼šè§¦å? 存储åž? XSSã€? + +之所以会触å‘是因为在系统å¯? 管ç†å‘˜è¾“入的 é…é€æ–¹å¼?-æ述字段(des)在入库å‰åªè¿›è¡Œäº? addslashes 转义特殊字符处ç†ï¼Œå…¶å®žè¿™æ²¡æ¯›ç—…ã€? + +é‡è¦çš„是å–出数æ®åº“çš„æ•°æ®è¾“出到页é¢å‰æ²¡è¿›è¡? HTML 实体编ç å¤„ç†ç›´æŽ¥è¾“出导致最终的 XSSã€? + +测试ï¼? + +1. åŽå°æ·»åŠ  é…é€æ–¹å¼? + +![](add_delivery.png) + +2. 添加æˆåŠŸåŽç›´æŽ¥å±•ç¤ºé…é€æ–¹å¼åˆ—è¡¨ï¼Œè§¦å‘ XSS + +![](show_delivery.png) + +此外,这ä¸? XSS 在å‰å°ç”¨æˆ·è´­ä¹°ä¸œè¥¿é€‰æ‹©é…é€æ–¹å¼çš„时候也会触å‘ã€? + +## References + +1. https://www.seebug.org/vuldb/ssvid-92863 diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/add_good.png" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/add_good.png" new file mode 100644 index 0000000..f60aafa Binary files /dev/null and "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/add_good.png" differ diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/add_shopcar.png" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/add_shopcar.png" new file mode 100644 index 0000000..835bbea Binary files /dev/null and "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/add_shopcar.png" differ diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/back_xssed.png" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/back_xssed.png" new file mode 100644 index 0000000..cdf4982 Binary files /dev/null and "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/back_xssed.png" differ diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/edit_address.png" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/edit_address.png" new file mode 100644 index 0000000..e779cd4 Binary files /dev/null and "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/edit_address.png" differ diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/local/record.txt" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/local/record.txt" new file mode 100644 index 0000000..36e0b6b --- /dev/null +++ "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/local/record.txt" @@ -0,0 +1 @@ +http://www.heiyaoshi8.com/member/shops_products.php ´æÔÚ©¶´ \ No newline at end of file diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/local/\345\276\256\344\277\241\346\210\252\345\233\276_20170723140641.png" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/local/\345\276\256\344\277\241\346\210\252\345\233\276_20170723140641.png" new file mode 100644 index 0000000..7bc7522 Binary files /dev/null and "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/local/\345\276\256\344\277\241\346\210\252\345\233\276_20170723140641.png" differ diff --git "a/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/xssed.png" "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/xssed.png" new file mode 100644 index 0000000..ad57a54 Binary files /dev/null and "b/DedeCMS/DedeCMS_v5.7_carbuyaction_\345\255\230\345\202\250\345\236\213XSS/xssed.png" differ diff --git "a/DedeCMS/DedeCMS_v5.7_shops_delivery_\345\255\230\345\202\250\345\236\213XSS/README.md" "b/DedeCMS/DedeCMS_v5.7_shops_delivery_\345\255\230\345\202\250\345\236\213XSS/README.md" index 0a0337f..3c12950 100644 --- "a/DedeCMS/DedeCMS_v5.7_shops_delivery_\345\255\230\345\202\250\345\236\213XSS/README.md" +++ "b/DedeCMS/DedeCMS_v5.7_shops_delivery_\345\255\230\345\202\250\345\236\213XSS/README.md" @@ -4,29 +4,39 @@ DedeCMS-V5.7-UTF8-SP2 ( å‘布日期 2017-03-15 ) +需è¦ç«™ç‚¹å¯ç”¨å•†åŸŽåŠŸèƒ½ã€‚ + 下载地å€ï¼š 链接: https://pan.baidu.com/s/1bprjPx1 密ç : mwdq ## PoC -该æ¼æ´žæ¯”较鸡肋,需è¦ç™»å½• 管ç†å‘˜åŽå°é€šè¿‡ 添加é…é€æ–¹å¼ 功能 æ‰èƒ½è§¦å‘, 添加åŽåœ¨å‰åŽå°éƒ½ä¼šè§¦å‘ 存储型 XSS。 - -之所以会触å‘是因为在系统对 管ç†å‘˜è¾“入的 é…é€æ–¹å¼-æ述字段(des)在入库å‰åªè¿›è¡Œäº† addslashes 转义特殊字符处ç†ï¼Œå…¶å®žè¿™æ²¡æ¯›ç—…。 +该æ¼æ´ž 通过用户在编写订å•æ”¶è´§åœ°å€çš„相关å‚æ•° 注入 XSS Payload,导致 å‰å°æŸ¥çœ‹è®¢å•çš„页é¢å’ŒåŽå°ç®¡ç†å‘˜æŸ¥çœ‹è®¢å•è¯¦æƒ…的页é¢éƒ½ä¼šè¢« XSS。 -é‡è¦çš„是å–出数æ®åº“çš„æ•°æ®è¾“出到页é¢å‰æ²¡è¿›è¡Œ HTML 实体编ç å¤„ç†ç›´æŽ¥è¾“出导致最终的 XSS。 +所以说,å¯ä»¥ç”¨æ¥æ‰“管ç†å‘˜ Cookie 。 测试: -1. åŽå°æ·»åŠ  é…é€æ–¹å¼ +1. 首先管ç†å‘˜æ·»åŠ ä¸€é¡¹å•†åŸŽçš„å•†å“ -![](add_delivery.png) +![](add_good.png) -2. 添加æˆåŠŸåŽç›´æŽ¥å±•ç¤ºé…é€æ–¹å¼åˆ—è¡¨ï¼Œè§¦å‘ XSS +2. å‰å°ç”¨æˆ·é€‰å®šå•†å“添加购物车 ![](show_delivery.png) -此外,这个 XSS 在å‰å°ç”¨æˆ·è´­ä¹°ä¸œè¥¿é€‰æ‹©é…é€æ–¹å¼çš„时候也会触å‘。 +3. å‰å°ç”¨æˆ·ç¼–辑订å•çš„收货地å€ï¼Œåœ¨è¿™é‡Œ `address,des,email,postname` 都是存在 XSS 的,æ’å…¥ XSS Payload , + +![](edit_address.png) + +4. 查看订å•è¯¦æƒ…å‘现å‰å°å·²ç»è¢« XSS + +![](xssed) + +5. 管ç†å‘˜è¿›å…¥åŽå°æŸ¥çœ‹å•†åŸŽè®¢å•åŒæ ·ä¹Ÿä¼šè¢« XSS :P + +![](back_xssed.png) ## References -1. https://www.seebug.org/vuldb/ssvid-92863 +1. https://www.seebug.org/vuldb/ssvid-92855 diff --git a/README.md b/README.md index 8aeee98..219a3b4 100644 --- a/README.md +++ b/README.md @@ -4,7 +4,7 @@ Content Management System Vulnerability Hunter ->借用 M 牛的一å¥è¯ï¼Œå–œæ¬¢è¯·ç‚¹ Star,如果ä¸æ‰“算贡献,åƒä¸‡åˆ« Fork +> 说明:目å‰æ¥çœ‹ï¼Œæœ¬é¡¹ç›®ä¼šè¿›è¡Œé•¿æœŸç»´æŠ¤ï¼Œæœ‰ä¿®æ”¹çš„建议或者想法欢迎è”系作者。 *** @@ -13,6 +13,7 @@ Content Management System Vulnerability Hunter #### DedeCMS - [DedeCMS_v5.7_shops_delivery_存储型XSS](DedeCMS/DedeCMS_v5.7_shops_delivery_存储型XSS) +- [DedeCMS_v5.7_carbuyaction_存储型XSS](DedeCMS_v5.7_carbuyaction_存储型XSS) #### Struts