异次元发卡最新漏洞0day(XSS组合拳)

已于 2024-01-24 05:10:43 修改
阅读量2k 收藏 8
点赞数 11
分类专栏: 实战案例 文章标签: xss 安全 前端 网络安全 web安全
于 2024-01-18 05:08:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36759934/article/details/135664140
版权

异次元商店头像上传处存在存储型XSS注入(user、admin均存在)。其中,user处有过滤,admin无。

1.png

2.png


将恶意脚本插入后,管理员访问用户管理页面即可执行恶意脚本。

3.png


恶意脚本执行后,会新增一个管理员用户,进而获得权限。

鉴于漏洞还没有泛滥,而且很多站都有漏洞。EXP暂时不公开。

需要学习可以加入知识星球

4.png


本文链接:  https://www.黑客.wang/wen/c553aea127604581.html
飞扬的浩
关注
专栏目录
发卡系统 /pay/xinhui/request_post 任意文件读取漏洞复现
0xSec
07-09 873
发卡系统 /pay/xinhui/request_post 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
揭秘知宇thinkphp企业级自动发卡系统源码漏洞
2401_84123232的博客
04-20 1056
2、如果平台昨日订单总额大于2000元,就会在application/wechat/controller/目录下创建Action.php文件,这个Action.php文件的代码是远程获取的,而且做了加密,具体做什么并不清楚,但一定是黑客用来黑平台的手段,有可能是获取平台的用户信息,有可能是其他不可告人的勾当。**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
发卡网shell漏洞_个人发卡源码审计【getshell+前台任意重置】【跟随大哥的脚步0x002】...
weixin_39596975的博客
01-17 992
本帖最后由 Adian大蝈蝈 于 2020-8-13 04:07 编辑个人发卡平台美化加强版虽然说是加强版但是我也没见着加强在哪里0x001前台:发卡1.png (106.75 KB, 下载次数: 0)2020-8-13 11:16 上传初略的看了一下前台 qnmd就两个功能是自己的其他都是外接的功能 这谁顶得住阿发卡2.jpg (4.58 KB, 下载次数: 1)2020-8-13 11:1...
项目推荐:ACG-Faka 发卡系统
最新发布
gitblog_07641的博客
09-13 495
项目推荐:ACG-Faka 发卡系统 acg-faka 个人发卡源码,发卡系统,二次元发卡系统,二次元发卡源码,发卡程序,动漫发卡,PHP发卡源码,异次元发卡 项目地址: https://gitcode.com/gh_mirror...
SRC挖掘日常3
jennycisp的博客
05-06 864
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。聊完宏观的,我们再落到具体的技术点上来,给你看看我给团队小伙伴制定的网络安全学习路线,整体大概半年左右,具体视每个人的情况而定。
tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现
weixin_39999586的博客
12-04 1026
一、漏洞背景2020年02月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告。Tomcat作为一款免费开源轻量级的web应用服务器,广泛应用于并发量不是很高的场合,Tomact默认端口8080用于处理http请求,Tomcat会监听AJP连接器的8009端口,用于与其他We...
发卡网shell漏洞_邮件传输代理Exim远程命令执行漏洞细节披露,影响全球近一半邮件服务器...
weixin_32260275的博客
12-31 700
注意:是远程命令执行,不是远程代码执行Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。而近日,黑鸟从一些渠道发现,Exim官网更新了最新4.92版本,并发布通告称,其Exim 4.87(包括) 到 4.91(包括)版...
CVE-2024-27292:Docassemble任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-11 457
Docassemble是Jonathan Pyle个人开发者的一个免费的开源专家系统,用于指导访谈和文档组装。Docassemble 1.4.53至1.4.96版本存在安全漏洞,该漏洞源于允许攻击者通过操作URL获得对系统信息的未授权的访问导致任意文件读取。
Thinkphp企业级知宇自动发卡系统源码bug漏洞分析和修复
美奇软件开发工作室
04-29 7266
很多经营自动发卡业务的商家都是使用知宇的自动发卡系统,这个系统功能强大、业务完善,是个很不错的程序。这个系统使用Thinkphp5.0内核开发的,是一个完全开源的项目,这套系统在网上早已泛滥(不值钱),泛滥的程序难免会被黑客利用,黑客通过研究这套系统,发现了系统不少的漏洞,也有一些黑客故意在源代码里植入木马或者后门,然后再发布出去给其他人使用,黑客的目的,无非就是想通过一些隐形的技术手段,修改系统的收款通道,从中获取利益。下面一起来分析这套系统的漏洞
最新UI美化异次元自动发卡网搭建,实现被动收益
05-30
最近,UI美化异次元自动发卡网搭建成为了一个备受关注的话题。本文将会介绍如何搭建这样一个网站,并实现被动收益。 一、什么是自动发卡网站 自动发卡网站是指用户通过充值后,可以获得一个或多个兑换码或激活码,...
异次元发卡网源码,自动发卡
01-04
异次元发卡网源码,自动发卡,支付宝 微信官方二维码收款,收款直接到账支付宝,不用注册其他收款平台,下载支付插件,部署支付宝官方插件 微信官方插件,支付宝 当面付 PC支付 WAP支付,微信扫码支付 H5支付,部署...
个人发卡网(完全无后门)可过D盾扫描
09-12
0后门。放心使用,经过D盾扫描0后门。不放心可以自己用D盾扫描一下后门
异次元发卡.zip
10-03
异次元发卡.zip
异次元发卡源码/荔枝发卡V3.0二次元风格发卡网全开源源码/对接免签约支付接口/带视频搭建教程
01-27
异次元发卡系统乃`荔枝发卡系统3.0`完全从0代码的重构版本,原生php开发,数据库底层使用`Eloquent ORM`,模板渲染使用`Smarty3.1`以及`PHP原生渲染`,会话保持全程使用`session`,下面是简单功能介绍,还有更多细节...
异次元发卡系统源码重构版本/二次元风格发卡网全开源源码
04-05
异次元发卡系统乃`荔枝发卡系统3.0`完全从0代码的重构版本,原生php开发,数据库底层使用`Eloquent ORM`,模板渲染使用`Smarty3.1`以及`PHP原生渲染`,会话保持全程使用`session`,而且是全开源,下面是简单功能介绍...
最新二次元风格 异次元全开源发卡源码
08-22
最新二次元风格全开源发卡源码1.3.0去授权版,支持服务器和...异次元发卡的官方推荐环境为:PHP >= 8.0+Mysql >= 5.6 1.上传至网站根目录,然后解压出来 2.更改伪静态:thinkphp 3.然后访问网站域名进入安装界面…
发卡平台卡密提取漏洞_无法彻底修复!英特尔再曝高危安全漏洞,可能大量 CPU 需更换...
weixin_39619635的博客
12-04 1895
自 2018 年以来,英特尔处理器先后被爆出“幽灵”、“熔断”、Lazy LP 以及 Management Engine 等漏洞,时至今日,英特尔似乎还是没能摆脱漏洞威胁的“魔咒”。雷锋网 3 月 6 日消息,近日,安全研究人员发现,过去 5 年 ,Intel 处理器上有一个未被发现过的漏洞,而这些硬件目前在全球都有数以百万计的公司在用,除非把这些受影响的处理器都换掉,不然无法避开这个漏洞,虽然 ...
YKfaka优卡自动发卡程序漏洞合集(这是篇水文)
课嗨教育的专栏
08-09 3066
alert(/xss/)
漏洞复现】鲸发卡系统 /pay/xinhui/request_post 任意文件读取漏洞
网安小白
08-12 719
发卡系统 /pay/xinhui/request_post 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件),导致网站处于极度不安全状态。
异次元发卡源码-荔枝发卡v3.0二次元风格发卡网全开源源码-对接免签约支付接口
01-04
异次元发卡源码-荔枝发卡v3.0是一款二次元风格的发卡网站全开源源码,用户可以通过该源码搭建自己的发卡网站。该源码支持对接免签约支付接口,为用户提供了更便捷的支付方式,同时也提高了用户的支付安全性。 荔枝发卡v3.0源码以二次元风格为主题,页面设计简洁、明快,符合二次元迷的审美需求。用户可以根据自己的意愿进行个性化定制,包括背景音乐、动漫人物壁纸等,给用户带来更加愉悦的体验。 该源码的全开源属性,意味着用户可以自由地对网站进行定制和修改,满足不同用户的个性化需求。同时,全开源也带来了更多的交流和共享机会,用户可以从他人的经验中学习、提高网站的功能和用户体验。 对接免签约支付接口,使得用户在网站购买卡密时可以选择更加灵活、便捷的支付方式,大大提高了用户的购物体验。同时,免签约支付接口也增强了支付安全性,保护用户的资金安全,提升了用户对网站的信任度和满意度。 总之,异次元发卡源码-荔枝发卡v3.0是一款功能强大、风格独特的发卡网站源码,全开源、对接免签约支付接口,为用户搭建发卡网站提供了更多的可能性和便利,是一款值得推荐的源码产品。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞扬的浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值