這一套源碼與網(wǎng)上那些X站cms都是一致，那么在奇安信社區(qū)上看到了這款，那么也來(lái)玩玩，這一套源碼的話基本的都是存在后臺(tái)提權(quán)、存儲(chǔ)xss、反射XSS、弱口令（至于弱口令這塊一般安裝后直接使用admin、admin或者某cms名稱直接進(jìn)行登錄，那么我們登錄進(jìn)行也是直接忽略過(guò)爆破這一段）

1、儲(chǔ)存XSS
廣告設(shè)置這塊基本都存在儲(chǔ)存xss。
利用：將廣告圖片的URL/…/…/…/<XSS語(yǔ)句>



可以看到，在廣告這塊儲(chǔ)存也是沒(méi)有做任何一個(gè)過(guò)濾的，直接觸發(fā)彈窗。

2、反射XSS

看源碼我發(fā)現(xiàn)了echo輸出存在可控變量，; echo safeRequest($_GET['Play']);?>';

Get Play？那么直接使用Play構(gòu)造一個(gè)payloda

http://192.168.22.1/Static/Home/VideoJS/index.php?Play=

發(fā)現(xiàn)沒(méi)有彈窗，那么審查元素，在底部 xss語(yǔ)句使用了:"+alert('XSS')+", 那么在元素源碼那看到了+ < >號(hào)基本被過(guò)濾掉了

為了找到過(guò)濾的源碼，在站的根目錄發(fā)現(xiàn)了一個(gè)index.php的文件

并且找到引入輔助行數(shù)文件，Helper.php，可以知道我們剛才嘗試的時(shí)候沒(méi)有彈窗的原因就在這里。下面的圖，我已經(jīng)把函數(shù)注釋寫出來(lái)了。

所以我將去除帶有威脅性的符號(hào)：';alert(1);'，那么這塊開(kāi)始我也是沒(méi)有頭像看了這編文章的第3段內(nèi)容，才反應(yīng)過(guò)來(lái)：https://forum.butian.net/share/1160


3.Php代碼執(zhí)行
路徑位置:Home/Basic/Statistics

<?phpif (isset($_POST['submit']) && isset($_POST['Statistics'])) { $file = fopen("../JCSQL/Admin/Basic/AdminStatistics.php","w");fwrite($file,$_POST['Statistics']); fclose($file); ?> <script language="javascript"> <!-- fwrite($file,$_POST['Statistics']); //值得注意的一段代碼

總結(jié)

以上是生活随笔為你收集整理的九某草 X站cms 渗透篇的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。