【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

时间:2023-03-08 22:23:48

 

0x00 环境准备

QYKCMS官网:http://www.qykcms.com/

网站源码版本:QYKCMS_v4.3.2(企业站主题)

程序源码下载:http://bbs.qingyunke.com/thread-13.htm

测试网站首页:

【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

0x01 代码分析

1、漏洞文件位置:/include/lib_post.php 第153-200行:

  1. case 'feedback':
  2. $fromurl=$_SERVER["HTTP_REFERER"];
  3. if(!strstr($fromurl,setup_weburl))ajaxreturn(3,'未知的URL来源,请刷新重新提交或联系工作人员');
  4. $lang=strtolower(arg('lang','post','url'));
  5. $name=arg('name','post','txt');
  6. $email=arg('email','post','url');
  7. $phone=arg('phone','post','url');
  8. $content=arg('content','post','txt');
  9. $attachment=arg('attach称ment','post','url');
  10. 10.     checkstr($name,'none',1,50,'您的呼');
  11. 11.     if($email!='')checkstr($email,'email',1,200,'电子邮箱');
  12. 12.     if($phone!='')checkstr($phone,'none',1,20,'联系电话');
  13. 13.     checkstr($content,'none',1,1000,'留言内容');
  14. 14.     if(setup_feedback_cn){
  15. 15.         if(!preg_match("/[\x7f-\xff]/",$content)){
  16. 16.             $errtip=getlang('send','notcn');
  17. 17.             ajaxreturn(1,$errtip);
  18. 18.             }
  19. 19.         }
  20. 20.     if(setup_errkey!=''){
  21. 21.         if(!checkerrkey($content)){
  22. 22.             $errtip=getlang('send','errkey');
  23. 23.             ajaxreturn(1,$errtip);
  24. 24.             }
  25. 25.         }
  26. 26.     $user_ip=getip();
  27. 27.     if(setup_feedback_limit){
  28. 28.         $ltime=time()-setup_feedback_limit;
  29. 29.         $ftime=db_count('feedback','webid='.$web['id'].' and time_add>'.$ltime.' and user_ip="'.$user_ip.'"');
  30. 30.         if($ftime){
  31. 31.             $errtip=sprintf(getlang('comment','limiterr'),setup_feedback_limit);
  32. 32.             ajaxreturn(1,$errtip);
  33. 33.             }
  34. 34.         }
  35. 35.     require_once('include/class_ip.php');
  36. 36.     $ipdata=new IpLocation();
  37. 37.     $add=$ipdata->getlocation($user_ip);
  38. 38.     $user_iptext=$add['country'];
  39. 39.     $attachment_new='';
  40. 40.     if($attachment!=''){
  41. 41.         $attachment_new='feedback/'.$attachment;
  42. 42.         @rename(setup_upfolder.$web['id'].'/'.setup_uptemp.$attachment,setup_upfolder.$web['id'].'/'.$attachment_new);
  43. 43.         }
  44. 44.     $content1=nl2br($content);
  45. 45.     $content2=str_replace('<br>','{br}',$content1);
  46. 46.     $tab='webid,dataid,languages,name,email,phone,user_ip,user_iptext,content,attachment,time_add';
  47. 47.     $val=$web['id'].',0,"'.$lang.'","'.$name.'","'.$email.'","'.$phone.'","'.$user_ip.'","'.$user_iptext.'","'.$content2.'","'.$attachment_new.'",'.time();
  48. 48.     db_intoshow('feedback',$tab,$val);

这段代码对游客提交的留言进行处理,然后写入数据库进行查看,在留言提交的几个参数$lang,$email,$phone,$attachment,其中$lang的参数是url,但是$email,$phone有格式检测不能利用,发现把ip也写入了数据库,我们进一步查看程序中如何获取ip的?

文件位置:/admin_system/include/lib/login.php 第447-453行:

  1. function getip(){
  2. if(!empty($_SERVER["HTTP_CLIENT_IP"]))$cip = $_SERVER["HTTP_CLIENT_IP"];
  3. else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
  4. else if(!empty($_SERVER["REMOTE_ADDR"]))$cip = $_SERVER["REMOTE_ADDR"];
  5. else $cip = "127.0.0.1";
  6. return $cip;
  7. }

可以发现程序先从客户端获取IP,这是可以伪造的,伪造IP将XSS Payload写入数据库,后台数据库查询出来展示的时候,便会触发XSS,导致程序在实现上存在存储型XSS跨站脚本漏洞,攻击者通过该漏洞可在页面中插入恶意js代码,获得用户cookie等信息,导致用户被劫持。

0x02 漏洞利用

1、在首页点击在线留言—填写数据—抓包—修改X-Forwarded-For头部信息:

【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

2、前台留言成功,当管理员后台查看留言的时候,成功触发XSS语句。

【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

0x03 修复建议

建议对参数做html转义过滤(要过滤的字符包括:单引号、双引号、大于号、小于号,&符号),防止脚本执行。在变量输出时进行HTML ENCODE处理。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

相关文章