ZZCMS201910审计——存储XSS漏洞

1. 在函数集成文件…/inc/function.PHP中发现如下代码：由此猜测若存在调用此函数的地方，可能会出现sql或者xss注入的存在；下一步应该全局查找存在调用此函数，且第二个参数为true的地方；(shift+ctrl+F)

function stripfxg($string,$htmlspecialchars_decode=false,$nl2br=false) {   //去反斜杠$string=stripslashes($string);//去反斜杠,不开get_magic_quotes_gpc 的情况下，在stopsqlin中都加上了，这里要去了if ($htmlspecialchars_decode==true){   $string=htmlspecialchars_decode($string);//转html实体符号}if ($nl2br==true){   $string=nl2br($string);}return $string;}

在文件…/zt/show.php中：逻辑是找到对应变量是否可控和被打印输出。这一步找到了gsjj变量是可以被打印的；content值是来自于一句sql查询里面某个字段的值，且通过url传入参数id可以被打印出来；

$gsjj=$gsjj. stripfxg($content,true);//全局发现上面语句(验证了content可能可控和gsjj可打印)；同时变量gsjj视乎都是具体html字符串变量；//之后要判断gsjj是否可打印输出；ctrl+f逐个搜索gsjj，几乎跳到本文件的最下方：出现以下代码：$strout=str_replace("{#gsjj}",$gsjj,$strout); echo  $strout;  //可见变量strout若存在 " {#gsjj} "字符串，该字符串会被变量gsjj所覆盖; 至于旧的strout变量视乎很多，但是感觉有点是集成化的html字符串，所以可以假设这里大概率会被覆盖； 最后echo出变量strout；由此可见该变量可以被输出。//之后找变量content：本文件没有，但是在include文件里找到了在top.php文件中：$rs=query($sql);$row=num_rows($rs);    //获取行数if (!$row

来源地址：https://blog.csdn.net/quexiyi8051/article/details/127710155