0x01用户对xss的评论 看看这个框架，你可以肯定没有注入，整个站基本上都是基于缓存进行交互，所以想想你是否可以通过xss，首先你可以肯定的是这个cms使用了框架thinkphp5，明白它是TP框架。寻找xss首先看一下配置文件 ＆GT;文件：application \ config.php ＆GT;参数：default_filter 终于找到了一个未经过滤的地方 ＆GT;文件：application/index/controller/Index.php ＆GT;方法：pinglun（） 过滤功能 ＆GT;文件：application \ index \ controller \ Common.php ＆GT;方法：filterJs（） 你可以看到只是一个简单的过滤器＆lt; script＆gt;绕过很简单 在此cms中注册一个帐户，然后单击一篇文章。 从这里我们已经可以确定背景注释没有完全过滤导致xss，我们之前说过这个站点使用TP5并且大部分功能都与缓存交互！ ！ ！然后，我前段时间用xss发送的文章也许你可以搞定 0x02 Getshell 在这里，我在先知社区中写了一篇文章，让您对以下内容有一个大致的了解： ＆GT;文章名称：Thinkphp5.0.10-3.2.3缓存功能设计缺陷可导致问题 ＆GT;文章链接：＆lt;https://xianzhi.aliyun.com/forum/read/1973.html> ; 阅读完上面的文章后，每个人都应该有一种普遍的感觉。 在确认此cms尚未添加csrf_token之后，我们可以使用以下想法 思路： ＆GT;前台注释掉插入xss代码 - >欺骗后台管理员访问网站 - 内容管理 - 评论管理 - 自动执行xss代码 - >通过csrf插入新文章 - >通过csrf清除缓存 - >传递js访问前端任意页面生成缓存来构建shell 一般的想法是这样做。 在后台创建一个文章方法 ＆GT;地址：application \ admin \ controller \ Index.php ＆GT;方法：write（）; 关于这种方法没有什么可说的，只是后者组合使用他的漏洞。 背景清除缓存方法 ＆GT;地址：application \ admin \ controller \ Index.php ＆GT;方法：clearcache（） 关于这种方法没有什么可说的，只是后者组合使用他的漏洞。 例子： 1，准备好脚本 2，使用以前的xss漏洞，用此脚本形成xsrf漏洞 这样我们就可以在前端完成。然后我们将后台管理员的操作模拟到后台。 模拟后端管理员操作： 漏洞原理与流程： 1，在后台创建一篇文章方法 ＆GT;地址：application \ admin \ controller \ Index.php ＆GT;方法：write（）; 没有什么可说的方法，只需从前端获取数据并将其写入数据库即可。 2，后台清除缓存方法 ＆GT;地址：application \ admin \ controller \ Index.php ＆GT;方法：clearcache（） 关于这种方法没什么可说的。只需删除缓存的数据即可 3，访问前端重新生成缓存 ＆GT;地址：application \ index \ controller \ Index.php ＆GT;方法：index（） 缓存名称来源 缓存名称的组成相对简单。 上述数字对缓存名称的含义是什么？非常简单 第一个是索引目录中索引模块的索引方法。 称为��法$ template=$ this-＆gt; receive（'index'）;=指数 然后是ndex目录中Common模块中的receive方法。 获取变量$ source value=  index 获得变量$ page  value=1 缓存:设置（'hunhe _'。$ source。$ page，$ hunhe，3600）;缓存方法 最后是 MD5（hunhe_index1）=9040ab6906a15768edcd9e5b1d57fcda 0x 03后记： 要使用此方法，请尝试键入url ＆LT;http://www.xxxxxxx.com/runtime> ; ＆LT;http://www.xxxxxxx.com/runtime/cache> ; ＆LT;http://www.xxxxxxx.com/runtime/cache/8d6ab84ca2af9fccd4e4048694176ebf.php> ; 输入顺序。如果前两次访问的结果是403.最终结果不是403或404但返回到正常页面，则可访问站点的缓存目录。此漏洞目前可以使用。使用XSS + CSRF获取Getshel