Xmind 2020 XSS漏洞导致命令执行漏洞复现

最新推荐文章于 2024-05-18 10:43:35 发布
最新推荐文章于 2024-05-18 10:43:35 发布
阅读量285 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jaky5320/article/details/116594180
版权

0x00简介:

XMind是一个挺不错的思维导图软件,某数字漏洞云公众号在今天2021-05-10 10:22:29发布了漏洞预警信息,我立马找复现环境。

下载地址:https://www.xmind.cn/

0x01:复现:

环境:

图片

1、XSS复现

图片

图片

2、命令执行漏洞复现:

图片

0x02:预防:

1、升级到最新版本

2、谨慎打开Xmind
    3、关注“洛米唯熊”公众号

凑字数:

互联网产品经理间有着这样的共识,如何强化认知,快速响应,是非常值得跟进的。这不禁令我深思。互联网研发人员间有着这样的共识,在细分领域找到抓手,形成方法论,才能对外输出,反哺生态。这让我明白了问题的抓手,我们认为,找到抓手,形成方法论,洛米唯熊是否有前途则会迎刃而解。

我们都必须串联相关生态,去思考有关洛米唯熊是否有前途的问题。互联网研发人员间有着这样的共识,在细分领域找到抓手,形成方法论,才能对外输出,反哺生态。这让我明白了问题的抓手,总的来说,所谓洛米唯熊是否有前途,关键是洛米唯熊是否有前途如何才能赋能目标,进而反哺目标生态。

图片

扫码二维码

获取更多精彩

洛米唯熊

图片

点个在看 你最好看

图片

Jaky5320
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XMind 2020 for mac app.asar文件
09-19
Xmind for mac 2020 app.asar文件,替换原始文件:Xmind包内容-Resources-app.asar文件即可
Xmind2020存在XSS导致命令执行漏洞
m0_48520508的博客
05-19 476
0x00介绍 XMind 是一款非常实用的商业思维导图软件,应用全球最先进的Eclipse RCP 软件架构,全力打造易用、高效的可视化思维软件,强调软件的可扩展、跨平台、稳定性和性能,致力于使用先进的软件技术帮助用户真正意义上提高生产率。 0x01漏洞概述 该漏洞可以花样构造相关参数,执行系统命令,获取用户权限,攻击者可以借助该漏洞命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害 0x02影响版本 Xmind 2020 0x03环境搭建 1、下载漏洞环境,使用软件为xmind2020版本,可自.
XMind 2020 XSS漏洞
遇事不决冲冲冲
05-25 2209
一.前言 漏洞危害:可以花样构造相关参数,执行系统命令,获取用户权限,攻击者可以借助该漏洞命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害,我看网上相关文章都贴着这句话,其实也就是这样的,XMind xss漏洞的确可以被利用执行一些像弹窗,执行命令(经典ipconfig命令,弹计算器),以及配合cs的使用,如果真的有有心人去利用这个漏洞的话,也是很容易中招的。下面放上下载地址。 下载地址下载XMind 2020版本 二.漏洞利用 1.xss弹窗 创建 写入命令 在思维导图红色部分(不止红
xmind2020xss漏洞
m0_46171781的博客
05-10 478
今天看到某数字漏洞平台公布的xmind漏洞,尝试一下 一、环境 使用软件为xmind2020版本,可以在xmind官网(https://www.xmind.cn/)进行下载 二、过程 1.创建一个思维导图,内容中写入payload 2.进入大纲选项,选中内容按功能键,如ctrl键 3.进一步利用漏洞(payload来自于https://mp.weixin.qq.com/s/NjrycY4TxEz_vV83prNBzw),成功弹出计算器 payload如下: <img src=x on
XMind 2020 xss漏洞导致远程代码执行
jelly
05-14 478
0x00 简介 2021年5月10日,360漏洞云监测到Xmind 2020存在XSS漏洞,攻击者可以借助该漏洞命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害。 影响版本: XMind 2020/2021 beat版本 0x01 环境 系统:普通的 win10 XMind 版本:XMind-2021-for-Windows-64bit-11.0.0-Beta1-202105061920 此外还测试了 XMind 2020 windows和macOS 版本均存在该漏洞记录时间:2021
漏洞XMind2020及2021beta版本存在xss漏洞导致任意代码执行
Kris__zhang的博客
05-11 1938
简介 XMind是一种功能齐全的思维导图和头脑风暴工具,旨在产生想法,激发创造力,并在工作和生活中带来效率。数以百万计的用户们喜欢它 漏洞xssXMind2020及2021beta版本存在xss漏洞导致任意代码执行,可直接拿到目标主机权限 下载 官方连接: https://www.xmind.cn/download/ https://www.xmind.cn/xmind2021/beta/ 漏洞 XMind2020 【xss】 payload:<audio src=x onerror=co
URL跳转漏洞基础.xmind
12-18
URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图! URL跳转挖掘绕过方式思维导图!
代码执行漏洞总结.xmind
05-30
代码执行漏洞总结.xmind
nmap命令集.xmind
03-30
用思维导图做的nmap命令
XMind_ZEN2020.zip
08-24
Xmind zen工具
XMind 2020/2021 beat版本xss漏洞
yangbz123的博客
05-12 582
XMind概述 XMind 是一款非常实用的商业思维导图软件,应用全球最先进的Eclipse RCP 软件架构,全力打造易用、高效的可视化思维软件,强调软件的可扩展、跨平台、稳定性和性能,致力于使用先进的软件技术帮助用户真正意义上提高生产率。 漏洞利用 ##证明xss payload <img src=x onerror=alert(/hack/)> ##代码执行payload require('child_process').exec('systeminfo',(error, stdout,
xmind漏洞
qq_23690313的博客
12-14 2648
XMind 目录 一、 项目概要 1 二、 测试过程 1 (一) 制定实施方案: 1 (二) 风险规避: 1 (三) 测试过程: 2 (四) 整改加固建议: 4 三、 渗透测试方法 5 (一) RCE漏洞 5 (二) Cobalt Strike 5 四、 渗透测试范围 6 一、项目概要 (一)项目背景:2021年5月10日,360漏洞云监测到Xmind 2020存在XSS漏洞,攻击者可以借助该漏洞命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害。 (二)实验目标:主要通过渗透测试的方式,发和总结
WEB漏洞之 - XSS漏洞 (跨站脚本工具)
diaoqin7781的博客
05-08 813
什么是XSSXSS 又叫CSS(Cross site Scripting)跨站脚本工具,常见的WEB漏洞之一,再2013年度OWASP TOP 10 中排名第三 XSS 是指攻击者再网页中嵌入客户端脚本,通常是JS恶意代码,当用户使用浏览器访问被嵌入恶意代码网页时,就会再用户浏览 器上执行XSS有什么危害网络钓鱼,窃取用户Cookise,弹广告刷流量,具备改页面信息,删除文章,...
XMind-XSS-V8内核命令执行
Adminxe的博客
05-11 210
0x00 前言 测试环境: XMind 202005082128 0x01 payload(需要在大纲板块进行触发) <img src=x onerror="const exec = require('child_process').exec;exec('whoami').stdout.on('data', function (data) {alert(data);})"> 0x02 触发键 shift control option command 0x03 漏..
XMind漏洞xss(最全payload图文教程)
weixin_51387754的博客
05-18 361
https://mp.weixin.qq.com/s/gunmk1ox62sg2ifmVLFy7A
2020--12--18--XSS漏洞介绍
weixin_51693705的博客
12-21 409
1.XSS 较合适的方式应该叫做跨站脚本攻击 2.XSS分类: 反射型(非持久型): 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发漏洞。 存储型(持久型): payload被存储到数据库内,每次只要访问就可以被触发。 DOM型: DOM型XSS漏洞是基于文档对象模型Document Object Model,DOM)的一种漏洞 3.XSS危害 钓鱼欺骗 网站挂马 身份盗用 盗取网站用户信息 垃圾信息发送 劫持用户Web行为 XSS蠕虫 XSS 蠕虫可以用来打广告、刷流量、挂马 4.反射
xmind常用命令
百年城的博客
06-27 623
Ctrl+Shift+L 快捷键助手 Ctrl+Home 返回中心主题 Enter 插入主题 Tab 插入子主题 F2 编辑主题 F3 添加/编辑标签 F4 添加/编辑备注 F6 下钻 Shift+F6 上钻 Delete 删除 Ctrl+] 插入摘要 Ctrl+I 插入图片 Ctrl+Shift+H 插入超链接 Ctrl+1,2,3,4,5,6快速添加优先等级图标 Ctrl+B 添加外框 Ctrl+L 添加关联 + 展开目前分支 - 收缩目前分支 ...
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 434
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
[图解]SysML和EA建模住宅安全系统-05
最新发布
rolt的专栏
05-18 655
作用就是定义属性之间的数学关系
xmind2020安装目录
09-16
XMind 2020的安装目录是用户选择安装XMind 2020时所指定的目录。在安装XMind 2020之前,用户需要下载安装程序,并运行该程序。运行程序后,用户将看到一个安装向导,该向导将引导用户完成XMind 2020的安装过程。 在安装向导中,用户将被要求接受许可协议,并选择XMind 2020的安装目录。用户可以选择将XMind 2020安装在默认目录中,也可以选择将其安装在自定义的目录中。默认情况下,XMind 2020的安装目录通常是“C:\Program Files\XMind 2020”。 用户还可以选择安装XMind 2020的语言版本和其他附加组件。一旦用户完成了所有选项的选择,他们可以点击“安装”按钮,开始安装XMind 2020。安装过程可能需要一些时间,具体取决于用户计算机的性能和网络速度。 一旦安装完成,用户可以在他们选择的安装目录中找到XMind 2020的可执行文件和其他关联文件。用户可以通过双击可执行文件来启动XMind 2020,并开始使用它进行思维导图、计划和组织等各种工作。需要注意的是,在某些情况下,用户可能需要以管理员身份运行XMind 2020,才能正常使用某些功能或访问系统文件等。 总之,XMind 2020的安装目录是用户在安装过程中选择的目录,它可以是默认目录,也可以是用户自定义的目录。无论选择什么安装目录,用户都可以在安装完成后找到XMind 2020的相关文件,并开始使用它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值