实战案例
飞扬的浩
博客:黑客.wang
展开
-
帮管家 CRM init 信息泄露漏洞
帮管家 CRM init 存在信息泄露漏洞。原创 2024-01-18 08:03:59 · 656 阅读 · 0 评论 -
异次元发卡最新漏洞0day(XSS组合拳)
异次元商店头像上传处存在存储型XSS注入(user、admin均存在)。其中,user处有过滤,admin无。将恶意脚本插入后,管理员访问用户管理页面即可执行恶意脚本。恶意脚本执行后,会新增一个管理员用户,进而获得权限。鉴于漏洞还没有泛滥,而且很多站都有漏洞。EXP暂时不公开。需要学习可以加入知识星球原创 2024-01-18 05:08:33 · 1106 阅读 · 0 评论 -
利用审核元素任意修改密码漏洞
打开审查元素,把输入用户名这个标签的value值改为admin。友情链接处 链接图片可以选择 php上传。后台登录,有个修改密码。输入密码,修改成功。原创 2022-11-13 13:57:02 · 941 阅读 · 0 评论 -
emlog Pro 1.8.0漏洞挖掘之存储型XSS漏洞
漏洞危害:攻击利用难度大,且危害后果未实现权限跨越(如:取得数据库或服务器主机权限)!测试版本: 官网下载的最新版本:emlog Pro 1.8.0。漏洞修复:关闭用户注册,文章标签处进行代码过滤。成功进行了弹窗,现在进管理账号看一下。写文章 标签处插入xss测试代码。成功利用管理身份触发xss漏洞。利用条件: 需要开启用户注册。而且会自动保存到标签里。原创 2022-11-08 01:27:25 · 650 阅读 · 0 评论