专栏名称: 衡阳信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
目录
相关文章推荐
河北交通广播  ·  【992 | ... ·  16 小时前  
河北交通广播  ·  【992 | ... ·  2 天前  
Python爱好者社区  ·  刚刚,DeepSeek放出重磅论文!梁文锋亲 ... ·  3 天前  
河北交通广播  ·  【992 | 关注】低至200元!价格“大跳水”! ·  2 天前  
河北交通广播  ·  【992 | 明确】减免!名单公布→ ·  3 天前  
51好读  ›  专栏  ›  衡阳信安

一个代码审计新手的练级之路

衡阳信安  · 公众号  ·  · 2024-07-29 00:30

正文

前言

这是作者通过代码审计挖的第一个cve,目前已经在cve官网公开。本身没多少技术含量,主要是分享自己学习代码审计的过程。

复现

cve编号 :CVE-2024-39174.

环境

yzmcmsV7.2

过程

该cms有一个注册用户发表文章的功能

我们注意到这里使用的编辑器是富文本编辑器ueditor,去网上查询该组件的公开漏洞进行尝试,发现了一个存储型xss漏洞。

漏洞利用过程就是通过burpsuite抓包将原本要发送的文章内容替换为

%3Cp%3E1111111"> %3Cbr%2F%3E%3C%2Fp%3E

执行后发现失败

查看html源码发现onerror事件被过滤替换

知道存在函数来过滤注入,所以去源码里审计。发现一个专门用于过滤xss攻击的函数

函数主要部分如下

$string = preg_replace ('/[-BCE-FF]+/S', '', $string);

$parm1 = array ('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');

$parm2 = array ('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload', 'onpointerout', 'onfullscreenchange', 'onfullscreenerror', 'onhashchange', 'onanimationend', 'onanimationiteration', 'onanimationstart', 'onmessage', 'onloadstart', 'ondurationchange', 'onloadedmetadata', 'onloadeddata', 'onprogress', 'oncanplay', 'oncanplaythrough', 'onended', 'oninput', 'oninvalid', 'onoffline', 'ononline', 'onopen', 'onpagehide', 'onpageshow', 'onpause', 'onplay', 'onplaying', 'onpopstate', 'onratechange', 'onsearch', 'onseeked', 'onseeking', 'onshow', 'onstalled', 'onstorage', 'onsuspend', 'ontimeupdate', 'ontoggle', 'ontouchcancel', 'ontouchend', 'ontouchmove', 'ontouchstart', 'ontransitionend', 'onvolumechange', 'onwaiting', 'onwheel', 'onbegin');

函数会将所有大写字符替换为小写,所以不存在大小写绕过

于是开始思考能不能通过黑名单外的js事件来执行代码,通过查询比较发现了onpointerdown方法

简单来说该方法和onclick一样,都是当用户点击目标元素时触发。







请到「今天看啥」查看全文


推荐文章
河北交通广播  ·  【992 | 关注】网传“某地成诺如病毒重灾区”?市民抢药!卫健委紧急声明!
16 小时前
河北交通广播  ·  【992 | 分享】换季清库存!娇韵诗双萃精华老版仅需229元~
2 天前
Python爱好者社区  ·  刚刚,DeepSeek放出重磅论文!梁文锋亲自参与!
3 天前
河北交通广播  ·  【992 | 关注】低至200元!价格“大跳水”!
2 天前
河北交通广播  ·  【992 | 明确】减免!名单公布→
3 天前
中国教育报  ·  期末考试,学生们拿到试卷都惊呆了!为这样的老师点个赞! | 我是教师
8 年前
教你学风水转运  ·  iOS 11若有这点变化就能让iPhone更好用
7 年前
青音约  ·  人生变坏,是从不在乎开始的丨自我成长
7 年前
在青岛  ·  最新!青岛地铁2号线出入口都在哪?看这你就知道了!
7 年前
复星医药  ·  研发创新药战胜肿瘤顽疾,海外资深科学家曾庆平博士最大梦想只为挽救生命
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!