XMind漏洞xss复现(最全payload图文教程)

最新推荐文章于 2023-09-01 22:39:33 发布
最新推荐文章于 2023-09-01 22:39:33 发布
阅读量383 收藏 1
点赞数
分类专栏: 漏洞 文章标签: 渗透测试 信息安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51387754/article/details/116998150
版权
本文详细介绍了如何复现XMind的XSS漏洞,包括下载XMind、跳过登录和利用XSS代码的步骤,提供了最全的payload图文教程。
摘要由CSDN通过智能技术生成

第一步下载XMind
https://www.xmind.cn/xmind/thank-you-for-downloading/
https://mp.weixin.qq.com/s/gunmk1ox62sg2ifmVLFy7A

在这里插入图片描述第二步跳过登录进入
在这里插入图片描述
第三步利用过程:
主题插入xss利用代码

##证明xss payload
<img src=x onerror=alert(/hack
最低0.47元/天 解锁文章
GuiltyFet
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS漏洞复现
qq_52016943的博客
07-27 1264
XSS绕过
xmind漏洞
qq_23690313的博客
12-14 2671
XMind 目录 一、 项目概要 1 二、 测试过程 1 (一) 制定实施方案: 1 (二) 风险规避: 1 (三) 测试过程: 2 (四) 整改加固建议: 4 三、 渗透测试方法 5 (一) RCE漏洞 5 (二) Cobalt Strike 5 四、 渗透测试范围 6 一、项目概要 (一)项目背景:2021年5月10日,360漏洞云监测到Xmind 2020存在XSS漏洞,攻击者可以借助该漏洞实现命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害。 (二)实验目标:主要通过渗透测试的方式,发现和总结
漏洞复现--xss
weixin_52351575的博客
01-11 841
切换至Attack机,即我们的攻击机,然后来到火狐浏览器,即攻击方,当受害者用户点击“XSS(Stored)”之后,XSS平台会有一条消息,刷新,查看“接受面板”,发现多了一个数据,这就是我们受害者用户的一个数据,在这里面我们可以看到受害者的cookie,如下图。选择公共模板,在“default.js”下,修改模板,将“http://网站地址”修改为“http://10.1.1.200/xss/index.php”,修改完成之后点击“修改”,如下图。
pikachu之xss漏洞复现
m0_54024658的博客
05-24 684
xss跨站脚本xss简介xss漏洞类型反射型存储型DOM型XSS攻击过程漏洞复现反射型XSS(get)存储型XSSDOM型XSS xss简介 XSS(跨站脚本)是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户,XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制。因为对程序中输入和输出的控制不够严格,导致漏洞的形成。 xss漏洞类型 反射型 交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询页面等 存储型 交互的数据会被存在数据库里面,
XMind 2022图文安装教程及如何使用图像库功能
01-04
XMind 2022是一款风靡全宇宙的思维导图和头脑暴炸软件,是全宇宙领先的“可视化思考”工具,每一个功能都能帮助你激发灵感、提高创造力, XMind 2022为不同的使用场景提供多种可视化布局,让你的思维可以更清晰的...
最全nginx手写教程xmind
最新发布
03-14
最全nginx手写教程xmind
Xmind使用教程PPT课件
05-23
Xmind使用教程Xmind使用教程课件,Xmind使用教程PPT
高级教程.xmind
06-06
高级教程.xmind
渗透测试完整流程(史上最全).xmind
09-27
从信息收集,到弱点检测,到代码审计,一步一步的清晰步骤
复现XSS漏洞及分析
qq_61739597的博客
09-01 2960
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
XMind 2020 XSS漏洞复现
遇事不决冲冲冲
05-25 2242
一.前言 漏洞危害:可以花样构造相关参数,执行系统命令,获取用户权限,攻击者可以借助该漏洞实现命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害,我看网上相关复现文章都贴着这句话,其实也就是这样的,XMind xss漏洞的确可以被利用执行一些像弹窗,执行命令(经典ipconfig命令,弹计算器),以及配合cs的使用,如果真的有有心人去利用这个漏洞的话,也是很容易中招的。下面放上下载地址。 下载地址下载XMind 2020版本 二.漏洞利用 1.xss弹窗 创建 写入命令 在思维导图红色部分(不止红
xss漏洞复现
h2896713787的博客
11-10 5054
xss
XSS漏洞总结和漏洞复现
weixin_45492087的博客
07-28 2322
跨站脚本攻击XSS(CrossSiteScripting),为区别层叠样式表(CascadingStyleSheets,CSS),所以改写为XSS
XSS漏洞复现
qq_39744805的博客
09-01 1164
跨站脚本( Cross-site Scripting )攻击,攻击者通过网站输入框输入payload(脚本代码 ),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的( 窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML语言中的CSS相混淆,通常称它为“XSS”。
Heybbs-2.0存储型XSS漏洞复现
1匹黑马
01-27 694
文章目录前言代码审计漏洞验证临时修复 前言 这个漏洞的成因主要是因为程序对用户的输入没有进行过滤而导致的 代码审计 漏洞出现在注册页面上,这里因为没有进行过滤,所以我们可以直接注册一个XSS语句,且每次访问index.php页面都会执行这个语句。 先来看一下/php/register.php的代码吧 可以看到,POST过来的username直接就赋值给了$username,下面的sql语句也是直接拼接进去的,连个单引号都没加 这个bbs系统怎么说呢,但凡有数据交互的地方,就有利用点… 漏洞验证 首先注
xmind2020xss漏洞复现
m0_46171781的博客
05-10 499
今天看到某数字漏洞平台公布的xmind漏洞,尝试复现一下 一、复现环境 使用软件为xmind2020版本,可以在xmind官网(https://www.xmind.cn/)进行下载 二、复现过程 1.创建一个思维导图,内容中写入payload 2.进入大纲选项,选中内容按功能键,如ctrl键 3.进一步利用漏洞payload来自于https://mp.weixin.qq.com/s/NjrycY4TxEz_vV83prNBzw),成功弹出计算器 payload如下: <img src=x on
存储型XSS_简单漏洞复现
CHUNJIUJUN的博客
08-10 409
首先随便注册一个账号登录 写一篇邮件,邮件内容插入xss语句 burpsuit抓包,发送到repeater,放包,发现script被过滤了 所以改包改用<img src=1 onpointerout=alert(123)> 这里我们去看看我们发布的内容是否双击以后有弹窗 弹窗出现,说明有xss漏洞 ...
XMind使用教程:从入门到精通
"XMind入门学习" XMind是一款强大的可视化思考工具,它提供了直观且友好的图形化界面,帮助用户高效地进行思维导图的创建,从而促进创新思维和灵感的捕捉。XMind不仅可以用于个人思维整理,还在企业环境中发挥了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GuiltyFet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值