无需登录-悟空CRM 存储型XSS

审计悟空的缘由是看见某云爆出CRM的getshell,于是就想着去挖出来瞅瞅!但可能自己把自己给局限了,就想着去挖那些无限制访问的文件。

111
故事的发生点

漏洞文件:/App/Lib/Action/LogAction.class.php

判断是否为post请求,如果条件为真则进入添加(这里要说一下,网站是开启了GPC的,但是存储入数据库时是进行了还原的)

首先要说下此为需要登录后的权限才能访问的页面,然后则是查询咱们log表中的内容,以正序的方式查询。最后用assign直接输出到了当前模板中0.0  我这里就简单的说明了。函数内容太多!!!一个个的说挺费劲的。说的不对希望指出

验证漏洞:

这里还感谢90群里面的roisatm表哥提供了一种绕过悟空CRM的webscan方法

222

未登录下可访问的页面

填入咱们的测试XSS

333

没有拦截,只有顺畅的感觉就是棒棒哒

现在登录去后台看下

444

【via@91ri-小续】