phpmywind xss & csrf getShell 拿下官网

phpmywind xss & csrf getShell 拿下官网

审计代码吧,首先看后台能不能getShell

直接编辑 php文件 写入一句话
所有Sql 语句全部经过一个非常变态的函数

phpmywind xss & csrf getShell 拿下官网

phpmywind xss & csrf getShell 拿下官网

80sec 写的,绕不鸟,群里面叫了几句,无果, 压力肯大
Sql injection不可能了,看到 message.php

留言内容没有任何过滤直接入库….典型的 xss

Csrf 利用
留言去xss配合后台的模板编辑getshell,当管理员点击查看留言时,劫持管理员的浏览器(csrf)模板写入一句话
,额,先写远程的js代码吧
当管理员后台点击,留言模块管理,会在根目录生成一句话
留言标题处写入

Mywind.js代码

简单解释一下上面的js ,首先改造出兼容的 js ajax(不知道ajax 的童鞋 google it)
然后通过 ajax向/admin/editfile_do.php?action=update&filename=case.php 提交数据

写入 case.php 密码 sex()

留言代码

phpmywind xss & csrf getShell 拿下官网

接下来就是等了 ,这个是个新出的cms,管理员肯定会去猛看留言,每天访问 case.php

终于有一天
phpmywind xss & csrf getShell 拿下官网
一片空白,很明显successd

phpmywind xss & csrf getShell 拿下官网

菜刀上,结束了……