代码审计XSS 0day

怼烎@ 2022-10-30 08:23 122阅读 0赞

个人技术能力问题，先从xss挖！

步骤一：使用rips进行自动化审计

![图片][2549b1efb1b3dcdcd52f332abcfece9f.png]

感觉这个好搞

步骤二：使用vscode看

![图片][2941140096f6e3d118f01569beda5c27.png]

Rips提示57行有洞

复制出来看：

echo '<div id="douFrame"><div class="bg" onclick="douRemove('."'douFrame'".')"></div><div class="frame details"><h2><a href="javascript:void(0)" class="close" onclick="douRemove('."'douFrame'".')">X</a>'.$_POST['name'].'</h2><div class="content"><iframe frameborder="0" hspace="0" src="'.$_POST['frame'].'" width="100%" height="600">' . $_LANG['cloud_frame_cue'] . '</iframe></div></div></div>';

复制出来之后可以看到是一个php的输出语句echo

其中关注点是$\_POST\['name'\]

这个是可以传参的地方，看看前方和后方，可以确定这里存在xss，直接输入<script>alert(1)</script>即可，如果不确定，可以把这个代入进行测试。

基本的构造已经完成了，然后就是看看如何才能触发这一条语句。

往上看有个判断，条件是: %rec == 'details'

然后就找这个$rec是从哪来的

接着往上

$rec = $check->is_rec($_REQUEST['rec']) ? $_REQUEST['rec'] : 'default';

第19行有个这种语句，可以看到$rec就是这样来的。

这是一个三目运算符，例如a?b:c先判断a是否为true，若为true，则返回值为b，若a为false，则返回c。这里需要让rec为details则输入rec=details即可。

所以最终： post传入数据：

rec=details&name=<script>alert(1111)</script>

![图片][86b8c7b590602d4f09a72294bb634f05.png]

当然，需要登录态才可以。。。。。

[2549b1efb1b3dcdcd52f332abcfece9f.png]: /images/20221024/c0f7c08b038241bd8c0d524eccc3c430.png
[2941140096f6e3d118f01569beda5c27.png]: /images/20221024/6d8246e5c45146a2a0d979002394698c.png
[86b8c7b590602d4f09a72294bb634f05.png]: /images/20221024/da4a93dfcb9d45ff99aaa8a32ae86647.png