Catfish(鲶鱼) Blog V1.3.15 代码审计

Posted v01cano

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Catfish(鲶鱼) Blog V1.3.15 代码审计相关的知识,希望对你有一定的参考价值。

Catfish(鲶鱼) Blog V1.3.15 代码审计

1,前台存储型xss漏洞

漏洞点:applicationindexcontrollerindex.php

技术图片

调用了filterJs函数对content 参数进行过滤。

继续跟进filterJs函数:

在/application/index/controller/Common.php文件中filterJs函数定义如下:

    protected function filterJs($str)
    {
        while(stripos($str,'<script') !== false || stripos($str,'<style') !== false || stripos($str,'<iframe') !== false || stripos($str,'<frame') !== false || stripos($str,'onclick') !== false)
        {
            $str = preg_replace(['/<script[sS]*?</script[s]*>/i','/<style[sS]*?</style[s]*>/i','/<iframe[sS]*?[</iframe|/][s]*>/i','/<frame[sS]*?[</frame|/][s]*>/i','/on[A-Za-z]+[s]*=[s]*['|"][sS]*?['|"]/i'],'',$str);
        }
        return $str;
    }

只要存在<script,<style,<iframe,<frame,onclick标签就将其替换为空。所以我们的payload只要不包含上述标签即可绕过。

漏洞利用:

首先在前台找一篇文章进行评论,插入超链接

技术图片

输入url后确认:

技术图片

然后f12修改超链接的值:

将超链接中href属性值改为javascript:alert(1)

技术图片

然后提交评论,当点击评论时候即可成功触发xss:

技术图片

2,后台文件上传漏洞

直接给利用方式吧,其实思路就是将php木马压缩到压缩包中,然后利用系统升级功能进行解压缩,即可成功getshell。

首先来到后台,选择系统升级,然后上传升级包文件(任意包含木马的压缩包文件都可)

技术图片

我上传的压缩包文件如下:其中只包含一个phpinfo.php文件。

技术图片

上传成功后,即可成功在跟目录下面访问:

技术图片

有空再继续吧。

以上是关于Catfish(鲶鱼) Blog V1.3.15 代码审计的主要内容,如果未能解决你的问题,请参考以下文章

Catfish(鲶鱼) CMS存储型XSS一枚

鲶鱼CMS存储XSS漏洞披露

开源轻量级企业内容管理系统-鱼跃CMS v2.0.0

Catfish任意代码执行漏洞 0day

Ubuntu 16.04下轻量级文件搜索工具Catfish

Catfish CMS漏洞集合