代刷网通杀反射形XSS漏洞

最新推荐文章于 2023-04-27 22:37:26 发布
最新推荐文章于 2023-04-27 22:37:26 发布
阅读量2.8k 收藏 6
点赞数 1
文章标签: xss 运维 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Moxin1044/article/details/104323383
版权

昨天甚是无聊,于是就脑子里有个神奇的思路。既然代刷网可以搭建一个分站,那么是不是可以通过分站后台管理来修改一些标题、公告?加入一些XSS语句甚至PHP语句,然后进行下一步操作(下一步操作我还在学习)。那么我们赶紧来一次把。

我们找百度排第一页的站,全部试用了一遍,发现这个XSS漏洞是普遍存在的。我们直接上视频:https://www.bilibili.com/video/av89051239/

蓝奏云因为大小限制了,我只好发到百度网盘了。都是可以在线浏览的。

链接:https://pan.baidu.com/s/1I_32z5VvhMKPoqq6AtxAaA 提取码:30a0

学不会pwn不改名
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对某代刷网站的渗透测试
白帽渗透笔记的博客
07-11 6686
0x01 今天闲来无事,在网上冲浪看帖,看到有个人发了一个代刷网站链接,出于好奇就点进去看了下,一看,好家伙,业务还挺多啊。可惜都要钱,咱可没钱! 0x02 然后便想看看有没有办法白嫖,哦不,是想热心的帮忙友情检测一下。 其实这种代刷系统之前也有了解过,总的来说,安全性还是比较高的,基本没什么漏洞,所以就没想着去尝试系统中的漏洞。而是首先想到找一找后台地址,尝试一下弱口令,看能否进入后台,网站管理员使用了过于简单的弱口令,这种事情很常见,毕竟,人是系统安全中最薄弱的环节。 进入登录页面 .
某彩虹资源共享通漏洞
qq_45832835的博客
07-24 3480
任意文件读取是属于文件操作漏洞的一种。 一般任意文件读取漏洞可以读取配置的信息甚至系统文件更重要。 是的你没看错,通0day 在某天上课的时候闲着,音乐老师放着好运来,好机会啊,赶紧挖个洞看看,接着逛了逛某侠 看到这种表白墙,我就肯定想刷波xss跟sql注入 (遇到这种表白站也是通,cont.php处存着sql注入) 谁知点开一看,什么花里胡哨资源共享,看了看可以上传文件,不慌,看看能不能拿下webshell 居然是下载,反正是下载也不多琢磨,看看其他漏洞 随便查看个文件看到name=那里貌似是查看
最新刷QQ服务漏洞
jayyezi的专栏
12-09 1075
不能说是漏洞吧。。。是他们的一个技术上的疏忽吧。。--------用网通。。。大家查一下,,黑龙江的网通IP。。。(SHOWIP这个工具就性。又名纯真IP数据库吧 )然后用扫描软件扫描一写IP端。。。具体就扫描代理。。8080或3128。。。只要是代理端口就性,。然后进bbn.qq.com或者cnc.qq.com然后下面。。选择黑龙江。。网通。。。。然后就可以开同服务拉。。。如果是第一次,,的时候
代码审计之彩虹代刷网系统1
08-03
奇安信攻防社区-代码审计之某代刷系统奇安信攻防社区 - 代码审计之某代刷系统0x00 前众所周知,前这种代刷在络上还是较常的,所以今天准备对这类系统进波审计。奇
彩虹代刷网最新版 修复后台及模板漏洞
最新发布
08-17
彩虹代刷网最新版 修复后台及模板漏洞
网络安全之文件上传漏洞
qq_52074678的博客
05-07 6382
一.文件上传漏洞原理🐱‍🏍🐱‍🏍🐱‍🏍 1.文件上传功能 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护。 2.一句话木马 二..
奇安信安全扫描漏洞解决路径遍历和存储型xss反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户...
XSS漏洞挖掘与安全防护.pdf
08-08
XSS相关漏洞一直是无法忽略的问题,即使再好的开发工程师也避免不了写出”不安全”的代码,这次议题将深入浅出的介绍一下XSS漏洞成与危害。
mysql 手工注入语句总结_[总结]SQL手工注入总结
weixin_28783937的博客
01-27 314
虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的式,便于以后的复习与查阅,文中内容可能会存在错误,望师傅们斧正!0x01 Mysql 手工注入1.1 联合注入?id=1' order by 4--+?id=0' union select 1,2...
文件上传漏洞-原理及绕过方式
Echo__h的博客
04-27 849
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。:通过自己搭建靶场的方式利用漏洞,可以更加熟练PHP、JS的使用,同时可以更好的理解漏洞产生的原因及如何防御。文件上传时会对文件进行验证,对传入的文件进行了临时保存,上传php文件,利用bp抓包,设置多线程,不断发包。将要上传的文件名更改为合法的,上传之后Burp拦截请求包修改回正常的再发送。
内网渗透----Token 窃取与利用
浅笑996的博客
12-03 2228
0x00 前言 在之前的文章《渗透技巧——程序的降权启动》介绍了使用 SelectMyParent 降权的方法,本质上是通过 token 窃取实现的。这一次将要对 token 窃取和利用做进一步介绍,测试常用工具,分享利用技巧。 0x01 简介 本文将要介绍以下内容 ; · Token 简介 · Metasploit 中的 incognito · Windows 平台下的 incognito · ...
通过SOCKS代理渗透整个内网
午夜安全
10-17 1万+
通过SOCKS代理渗透整个内网 1.背景 经过前期的渗透工作,我们现在已经成功找到了web站点的漏洞,并且获得了一个普通的webshell,现在准备用菜刀去连接它。 注意:本次环境在本地搭建,假设现在一无所知,这样更加真实。 2.对web服务器提权 2.1获取漏洞信息 获取到webshell后使用菜刀连接,查看权限是apache,系统是redhat6.5。 上传linux.sh到...
修改代刷网交易金额
01-23 3585
   来到 根目录         打开 ajax.php         来到16-22行(有的不一样,根据自己目录操作)        修改如下 两行:             $count1 = $DB-&gt;count("SELECT count(*) from shua_orders");                  $count7 = round($count6, 2);   ...
XSS漏洞利用方式汇总
热门推荐
Kevin's Blog
05-04 1万+
文章目录一、窃取Cookie1.1 解释1.2 操作搭建xss平台二、 以下所有的针对XSS的利用方式都是对XSS的深一步的学习了解、请勿于未授权环境下进行非法操作!!! 一、窃取Cookie 1.1 解释   恶意攻击者通过XSS攻击,窃取其他账户的Cookie信息从而进行未授权非法操作。 1.2 操作 搭建xss平台 这里我直接百度使用一个xss平台来接Cookie Tips:为了安全...
彩虹商城最新6.6免授权版全网首发
lisihui12345的博客
03-27 1206
介绍: 彩虹商城6.6最新版全网首发! V6.6更新日志 1.新增H5商城首页+用户中心模板 2.非发卡类商品支持库存数量设置 3.可设置分站提现的可用提现方式 4.可设置分站客服QQ全显示主站的 5.修复极限验证码绕过漏洞 6.修复邮件发送失败率高的问题 7.修复订单高并发情况下发卡错乱的问题 8.新增批量对接商品功能(仅支持同系统对接) 9.优化后台提现管理页面 10.更新后台易支付免认证 网盘下载地址: https://zijiewangpan.com/ZRrG8VMZ4bl 图片: ...
java 反射xss漏洞
06-02
Java反射XSS漏洞是指攻击者利用Java反射机制构造恶意输入,从而触发Web应用程序的反射机制,导致恶意代码被执行的漏洞。攻击者可以通过构造恶意请求,将恶意代码注入到应用程序中,使得用户在访问页面时受到攻击。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值