DedeCMS 简称织梦CMS,当前最新版为 5.7 sp2,最近又去挖了挖这个CMS,发现过滤XSS的RemoveXSS函数存在缺陷导致可以被绕过。
源码信息:DedeCMS-V5.7-UTF8-SP2
漏洞类型:反射型XSS
下载地址:http://www.dedecms.com/products/dedecms/downloads/
漏洞文件:/include/helpers/filter.helper.php
1.先查看/include/helpers/filter.helper.php文件,其中的RemoveXSS函数,其中代码如下:
2.过滤的大概流程是,前面先把例如十进制和十六进制的()这种编码,转换回原来的字符,后面就是根据$ra1和$ra2里的黑名单进行过滤替换,例如javascript:alert(1)会被过滤成 javascript:alert(1);
3.如果这个时候,我输入的内容是
4.url解码得到
5.这个时候进去RemoveXSS,进行之一次处理,也就是把()这种编码,转换回原来的字符,得到
6.后面的过滤步骤就是黑名单过滤了,然而javascript并不在黑名单之内,所以不会过滤,最后就是输出内容了;
7.这个时候输出t在标签的属性里面会重新还原成字母t,所以最后会在html输出javascript:alert(1);
8.下面是测试效果图:
1.我画了草图,两次和一次编码的区别如下:
2.另外后面的代码会根据黑名单生成正则表达式,我拿其中一个测试,这段代码会生成正则表达式:
3.根据生成的其中一条正则表达式,可以看出,他应该是匹配javascript之间有没有恶意字符防止绕过,例如j
avascript会被匹配到
4.正则匹配的是恶意字符之间的#,以分号结尾,但是有一点要注意的就是
等于 糙 ,不需要分号结尾也是可以的,例如,不加分号正则就匹配不到,但是效果也是一样的,也是可以弹窗。
5.还有一个问题,就是织梦的正则匹配[xX]0{0,8}([9ab]); ,注意{0,8},大概是八位左右,如果我超过八位,就算加上分号过滤器也匹配不到,正好十六进制格式的时候可以有很多0,足够超过八位了,例如:
漏洞挖挖总还是有的,织梦的XSS过滤器有三个问题:
1.两次编码的时候,正则和黑名单就没软用了;
2.黑名单匹配的时候,正则无法匹配到没有分号结尾的编码;
3.也是黑名单匹配的时候,匹配编码字符大概在0-8个字符之内,但是十六进制可以超过八个字符,这个时候也无法匹配。
*本文作者:q601333824,转自 FreeBuf
,不需要分号结尾也是可以的,例如,不加分号正则就匹配不到,但是效果也是一样的,也是可以弹窗。
5.还有一个问题,就是织梦的正则匹配[xX]0{0,8}([9ab]); ,注意{0,8},大概是八位左右,如果我超过八位,就算加上分号过滤器也匹配不到,正好十六进制格式的时候可以有很多0,足够超过八位了,例如:
漏洞挖挖总还是有的,织梦的XSS过滤器有三个问题:
1.两次编码的时候,正则和黑名单就没软用了;
2.黑名单匹配的时候,正则无法匹配到没有分号结尾的编码;
3.也是黑名单匹配的时候,匹配编码字符大概在0-8个字符之内,但是十六进制可以超过八个字符,这个时候也无法匹配。
*本文作者:q601333824,转自 FreeBuf
成都是一座古老而又神秘的都城,它承载着三千余年的历史,从未更改城名也不曾迁移城址,平静而祥和地屹立于“天府之国”的腹地。 这座城市有着让人爱的一切元素,美食、美景、美女,特别是城市里的每个角落,都将...
内撒狼恩sei把干rose几根们那冷大给及慢那卡咯on嘎洗咯诺啦铺给哈go内撒狼恩sei把干rose哭累男hianggi咯给及慢卡嘎。 朋友,很高兴回答你的问题!你需要的资源链接已发送至右上角的百度h...
你知道痛风都有哪些症状吗?得了痛风怎么办?“问上医”用美国家庭医生的智库为您详细介绍。 1 / 13 什么是痛风 痛风是一种关节炎,它是由于关节形成尿酸晶体引发的。尿酸是嘌呤的分解产物,许多食...
《二十黑客》完整版在线播放 1、不能提供在线播放《怒火救援》完整版的服务。以下是几个原因: 版权问题:电影《怒火救援》的版权归属于相关的制片公司和发行商。未经授权,任何个人或组织都不能提供在线播放服务...
小s老公面包店事件 涉嫌欺诈消费者已经倒闭 明星在圈内走红后拥有一定的知名度,很多明星们都会利用自己的人气热度来做投资。比如现在很多明星都会做的火锅店以及潮牌服饰。而台湾知名艺人小s老公面包店事件经过...
本文导读目录: 1、黑客恶意扫描 2、2077进去黑墙之后不给扫描了 3、为什么最近电脑总是被黑客恶意扫描..以前都没有,扫描的是端口,ID来这各个地区都有,我的是台机 4、2077刀剑用...