SiteServer XSS+后台上传漏洞利用

发布日期：2011-05.09
发布作者：冷冷的夜

影响版本：SiteServer V3.4.3

官方地址：www.siteserver.cn

漏洞类型：XSS跨站

详细说明：Siteserver XSS+后台随意生成webshell

测试版本：SiteServer V3.4.3
1，存储型XSS, www.xxx.com/UserCenter/main.aspx 网站内容投稿，点击发表,编辑点击源码->插入一段XSSS,如”><script>alert(22222222222)</script>,点击保存,ok,提交给管理员等待审核,当管理员登录后台->内容审核->点击查看的时候出发xss

2， 进入后台可以随意生成webshell，显示功能->模板管理->添加单页模板或者其他添加模板->文件扩展名改为aspx,模板文件:T_xx00,直接写入webshell,访问www.xxx.com/Template/T_xx00.aspx

哈哈，再一次显示了鸡助的威力，这个比上次更有杀伤力，一般的你上传的文章管理员都会审核在发表（要不你发表啥xx00等不和谐的因素咋办）,所以这个XSS触发的普遍性和使用性要大得多，危害也更大

漏洞证明：

标签分类： 上传漏洞 XSS跨站