某导航建站系统存在XSS

在网上看到一个挺好看的导航网站，发现开源了免费版，还有付费版

本想着自己搭建一个安全站点导航网站，遂下载，先黑盒测试一下

在本地搭建后，根据以前代码审计的经验，先体验下业务

结果，没体验到几步，就发现了XSS，搜索框的反射型XSS

存在问题的两个搜索的地方：

• http://www.test.com/search.html?ks=dyboy
• http://www.test.com/newsso.html?ks=dyboy

将ks参数的值改为：<svg/onload=alert(document.cookie)>

去官网的演示站点试试？

尝试升级免费版？

在application\admin\controller\Index.php 第40行，发现远程授权相关代码

更改一下

$key = 2;
$times = 1955456454;
if ($key == '0' or $key == '') {
    if ($line = $htd->get_curl($url)) {
        $line = str_replace('\\t', '', $line);
        $domain = [
            'sqstatus' => 0,
            'msg' => 'success'
        ];

ok，后台可以了

另外，发现网址导航更新（ http://www.test.com/wang.html ），前台用不了，提示需要授权

因此定位到：application\index\controller\Wang.php

修改第87行为：

if (false) {

OK了

貌似是ThinkPHP5.0.23版本的，尝试了一下RCE，但是限制了路由，只能指向index控制器，但是在index控制器中没有找到比较好的方法，暂且没有啥办法Getshell！