74CMS 3.0 存储型XSS漏洞

一、启动环境

1.双击运行桌面phpstudy.exe软件

2.点击启动按钮，启动服务器环境

二、代码审计

1.双击启动桌面Seay源代码审计系统软件

2.因为74CMS3.0源代码编辑使用GBK编辑，所以首先需要先将编码改成GBK

3.点击新建项目按钮，弹出对画框中选择（C:\phpStudy\WWW\74cms），点击确定

漏洞分析

1．点击展开左侧link目录，弹出的下拉列表中双击add_link.php文件，右侧页面可以看到相关代码。

elseif ($act=="save")

{

	if ($_CFG['app_link']<>"1")

	{

	showmsg('已停止自助申请链接，请联系网站管理员！',1);

	}

	else

	{

	$setsqlarr['link_name']=trim($_POST['link_name'])?trim($_POST['link_name']):showmsg('您没有填写标题！',1);

	$setsqlarr['link_url']=trim($_POST['link_url'])?trim($_POST['link_url']):showmsg('您没有填写链接地址！',1);

	$setsqlarr['link_logo']=trim($_POST['link_logo']);

	$setsqlarr['app_notes']=trim($_POST['app_notes']);

	$setsqlarr['alias']=trim($_POST['alias']);

	$setsqlarr['display']=2;

	$setsqlarr['type_id']=2;

	$link[0]['text'] = "返回网站首页";

	$link[0]['href'] =$_CFG['site_dir'];

	!inserttable(table('link'),$setsqlarr)?showmsg("添加失败！",0):showmsg("添加成功，请等待管理员审核！",2,$link);

	}

}

2．程序首先检测网站是否开启自助申请链接，如果没有，将阻止用户申请。紧接着网站将获取到链接名字、URL、logo、说明等赋值到setsqlarr数组，最后将数据插入到数据库中。文件开始程序依然包含了公共文件/include/common.inc.php，程序内部使用了str_tags去除HTML和PHP标签，所以，凡是带有尖括号的一律会被过滤掉。

3. 后台/admin/admin_link.php负责管理申请的友情链接

if($act == 'list')

{

	check_permissions($_SESSION['admin_purview'],"link_show");

	require_once(QISHI_ROOT_PATH.'include/page.class.php');

	$oederbysql=" order BY l.show_order DESC";

	$key=isset($_GET['key'])?trim($_GET['key']):"";

	$key_type=isset($_GET['key_type'])?intval($_GET['key_type']):"";

	if ($key && $key_type>0)

	{

		if     ($key_type===1)$wheresql=" WHERE l.link_name like '%{$key}%'";

		elseif ($key_type===2)$wheresql=" WHERE l.link_url like '%{$key}%'";

	}

	else

	{

	!empty($_GET['alias'])? $wheresqlarr['l.alias']=trim($_GET['alias']):'';

	!empty($_GET['type_id'])? $wheresqlarr['l.type_id']=intval($_GET['type_id']):'';

	if (is_array($wheresqlarr)) $wheresql=wheresql($wheresqlarr);

	}

	$joinsql=" LEFT JOIN ".table('link_category')." AS c ON l.alias=c.c_alias  ";

	$total_sql="SELECT COUNT(*) AS num FROM ".table('link')." AS l ".$joinsql.$wheresql;

	$page = new page(array('total'=>get_total($total_sql), 'perpage'=>$perpage));

	$currenpage=$page->nowindex;

	$offset=($currenpage-1)*$perpage;

	$link = get_links($offset, $perpage,$joinsql.$wheresql.$oederbysql);

	$smarty->assign('link',$link);

	$smarty->assign('page',$page->show(3));

	$smarty->assign('upfiles_dir',$upfiles_dir);

	$smarty->assign('get_link_category',get_link_category());

	$smarty->display('link/admin_link.htm');

}

4.程序首先检查管理员权限，然后获取前端页面传过来进行拼接SQL语句，最后进入到get_links函数内部进行数据库查询查询

function get_links($offset, $perpage, $get_sql= '')

{

	global $db;

	$row_arr = array();

	$limit=" LIMIT ".$offset.','.$perpage;

	$result = $db->query("SELECT l.*,c.categoryname FROM ".table('link')." AS l ".$get_sql.$limit);

	while($row = $db->fetch_array($result))

	{

	$row_arr[] = $row;

	}

	return $row_arr;

}

5.查询完成以后将获得结果传入到/link/admin_link.htm文件中

<tr>

      <td   class="admin_list admin_list_first">

	  <input name="id[]" type="checkbox"  value="{#$list.link_id#}" />

	  <a href="{#$list.link_url#}" target="_blank"  {#if $list.display<>"1"#}style="color:#CCCCCC"{#/if#}>{#$list.link_name#}</a>

	   {#if $list.Notes<>""#}

	  <img src="data:images/comment_alert.gif" border="0"  class="vtip" title="{#$list.Notes#}" />

	  {#/if#}

	   {#if $list.link_logo<>""#}

	  <span style="color:#FF6600" title="<img src={#$list.link_logo#} border=0/>" class="vtip">[logo]</span>

	  {#/if#}

	  {#if $list.display<>"1"#}

	  <span style="color: #999999">[不显示]</span>

	  {#/if#}

      </td>

6．模板文件中显示logo直接使用数据库传入过来的link_logo参数,并将作为img图像 src的参数，并且src参数用户可控，所以构成存储型XSS。

漏洞利用

1.首先点击网站底部的申请友情连接

2．弹出的页面中，输入如下参数，然后点击提交

其中Logo地址处为真正的攻击payload，x为了使img图像报错，然后调用onerror参数弹出对话框。 3．登录后台，依次点击广告->友情链接，将鼠标移动到LOGO位置，页面立刻弹出对话框