SSC成功率较高的漏洞利用

最新推荐文章于 2023-08-21 17:26:10 发布
最新推荐文章于 2023-08-21 17:26:10 发布
阅读量818 收藏
点赞数
分类专栏: Web漏洞 文章标签: web安全 安全
原文链接:https://blog.csdn.net/wuguojiuai/article/details/117931831?spm=1001.2014.3001.5502
版权

web安全学习了解: web渗透测试             
官网: 宣紫科技

这个漏洞其实老司机都知道,在过去日时时彩、BC类型的网站大部分都靠这些漏洞。主要是xss,除去本身的运气意外,除非你有bc、时时彩的0day,留着自己日站很香,不过某个表哥非要把这些姿势分享出来那就一发额。

XSS1:

SSC及菠菜的充值方式中,银联、支付宝、微信部分会采用线上第四方接口,此处基本不存在,但是有种也会采用转账后提交充值订单号或记录,尤其是在银行卡转账这条上面。

注意:很多较大的平台充值与开奖后台是分离的,所以并不是说xss打下充值后台就一定是网站管理后台及开奖后台。

XSS位置二:

在线客服,大部分网站会选用第三方客服,但是部分网站也会任性一下自己网站上带一个客服功能,客服位置也极有可能存在xss。

需要注意的是,客服后台也基本上都是独立的后台与开奖后台、充值后台基本不会在同一后台中。

在最后推荐一个xss平台地址:

除去自己搭建的xss平台以外推荐:XSS Hunter,构造好了多种可执行payload,并且payload直接继承选取了屏幕截图,cookie获取,网站源码获取等js。

宣紫科技
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSC模板通杀漏洞
课嗨教育的专栏
07-27 427
目录 0x1漏洞位置 0x2漏洞利用 0x3 漏洞关键词 0x1漏洞位置 该漏洞位置位于ssc后台,为登陆处延时注入。 0x2漏洞利用 在登陆过程中抓包获取相关http请求包: POST /Public.login.do HTTP/1.1 Host: xxx User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0 Content-Length: 223 Accept: text/html,
CPK计算软件
11-08
CPK数据分析软件,制程分析风险评估,简单易上手,分享给需要的朋友
BC渗透的常见切入点(总结)
zhangge3663的博客
01-05 4643
做了不少qp,BC渗透了,通宵了2个晚上干了几个盘子,简略的说下过程,做一下总结。 首先说一下qp, 以我的渗透成功案例来说的话首先信息收集必不可少的,qp的特点是什么呢? 他的后台会在服务器域名的后面以不同的端口形式架设 如图: 关于端口可以发现,基础东西你们都懂。 切入点: 在app里面抓包,查找邮箱,充值的地方寻找sql注入或者意见反馈的位置XSS 有一种情况是抓包显示127.0.0.1的抓不到包的情况,这种情况多于大盘子,它不一定走的是TCP UDP协议。可以参考T-ice表哥说的 P..
记一次BC渗透(一)
最新发布
qq_42751192的博客
08-21 432
摸索了杰哥家里的全部功能并没有发现有上传点,所以这个后台只能修改一些前台游戏金币和管理账号之类的了。Length 长度为 461 时登录成功,回到后台页面使用 admin/123456 进行登录。目标数据库为 Sqlserver,直接利用 --os-shell 进行 shell 交互。退出登录,尝试对登录界面进行 SQL 注入,这里就需要借助到阿伟的 Sqlmap了。接着利用 cs 制作 powershell 进行反弹 shell,新建一个监听。抓取登录页面的数据包,然后将数据包保存到桌面。
asp命令执行语句】_DLink远程代码执行漏洞(CVE201916920)漏洞分析
weixin_42300435的博客
12-29 981
背景:2019年9月,FortiGuard 实验室发现并报告了D-Link 多款产品中含有未经 身份验证的命令注入漏洞(FG-VD-19-117 /CVE-2019-16920 ),该漏洞可能会导致远程执行代码,危害等级。根据 FortiGuard实验室的报告,该漏洞在以下D-Link产品的最新固件中存在:DIR-655 、DIR-866L 、DIR-652 、DHP-1565...
Beckhoff EtherCAT SSC 5.12 XML生成工具
04-01
EtherCAT(Ethernet for Control Automation Technology)是由Beckhoff公司推出的一种实时工业以太网协议,专为自动...通过充分利用这些资料,工程师可以更好地实现基于EtherCAT的自动化系统,并确保其稳定、效运行。
EtherCAT SSC V5.12
03-29
在这个压缩包中,我们主要关注的是"EtherCAT SSC V5.12",这是一个用于构建 EtherCAT 从站设备的软件协议栈,版本号为5.12,同时配合使用的工具是"SSC Tool"的1.4.2版。 "SSC简介与使用.docx"文档可能包含了关于SSC...
Beckhoff EtherCAT SSC 5.13 XML生成工具
08-30
阅读这份文档可以帮助用户了解如何充分利用新版本的优势,并解决可能遇到的问题。 "EtherCAT SSC License V1.1.pdf"是该软件的许可协议,其中详细规定了软件的使用、分发和修改条件。用户在使用工具前应仔细阅读,...
SSC配置工具5.12版学习包
01-12
SSC配置工具5.12版是一个专门用于配置和管理EtherCAT从站栈代码的软件,适用于自动化控制、工业物联网等领域的系统开发。这个学习包是针对SSC Tool 5.12版本的一个资料集合,包含了相关的学习文章和实测案例,旨在...
Ethercat SSC Tool 5.12及文档
10-22
EtherCAT是一种性能、低延迟的工业以太网通信协议,由Beckhoff公司于2003年推出。它通过在数据帧中插入和提取设备状态来实现快速通信,避免了传统菊花链拓扑中主站逐个轮询从站的延迟问题。 EtherCAT网络由一个...
试用版自动挂机软件
07-16
自动挂机软件亲身使用,非常好用,自己举得可以
某开奖投注平台源码
07-09
开奖投注平台源码完整版,仅供研究,不得用于非法用途,阿米豆腐
SSC_V5i12_SSC_TOOLS_
10-02
标题“SSC_V5i12_SSC_TOOLS_”暗示了我们正在处理的是一个与“SSC”(可能是“Slave Stack Code”或某种特定系统、软件或组件的缩写)相关的工具集,版本为V5i12。描述中的“SLAVE STACK CODE TOOLS”进一步确认了这...
性能抓取程序SSC.rar
04-05
多线程、性能采集器爬虫.net版源码,可采ajax页面 实例运行,即将采集任务规则与采集任务运行进行剥离,方便采集任务的配置、跟踪管理; 2)支持GET、POST请求方式,支持cookie,可满足需身份认真的数据采集...
SSC8838G_PB_V04.PDF
05-14
SigmaStar SSC8838G 是一款性能的车载/动作相机系统-on-chip (SoC),旨在满足汽车电子和消费电子市场的需求。本产品 brief 将对 SigmaStar SSC8838G 的功能、特性和技术参数进行概述。 架构和功能 SigmaStar SSC...
利用Python爬取彩票信息
harden007的博客
07-17 8519
在爬取一些简单的(没有反爬机制的)静态网页时,一般采取的策略是:选中目标(所谓的url链接),观察结构(链接结构,网页结构),构思动手(选用什么HTML下载器,解析器等)。在爬虫过程中,都会涉及到三种利器: HTML下载器:下载HTML网页 HTML解析器:解析出有效数据 数据存储器:将有效数据通过文件或者数据库的形式存储起来 今天,我们将利用requests库和BeautifulSoup...
绝对干货!src漏洞挖掘经验分享
热门推荐
南迪叶先森
07-16 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! src漏洞挖掘经验分享 – 掌控安全以恒 一、公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞漏洞盒子进行提交。 在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。.
Linux bc 漏洞,linux – bc不通过脚本执行
weixin_42549451的博客
05-16 219
嗨,我有一个脚本,我用它来计算从服务器返回的一组值的标准偏差.我可以轻松地检索命令并使用该命令构建有效的字符串.bc <<< "scale=10; sqrt((0+((782636-782030)^2)+((781460-782030)^2)+((782492-782030)^2)+((781704-782030)^2)+((781860-782030)^2))/5)"我通过迭代...
Linux bc 漏洞,CVE-2019-18634:影响Linux和macOS的sudo提权漏洞
weixin_35652131的博客
05-16 307
近期,来自苹果的研究人员Joe Vennix在sudo中发现了一个重要的漏洞(CVE-2019-18634),可让普通权限的Linux和macOS用户以root权限运行命令。这个漏洞只能在特定的配置下利用。Sudo是最重要、最强大、最常用的实用程序之一,它预装在macOS和几乎所有基于UNIX或linux的操作系统上,是系统的核心命令之一。sudo可让用户以另一个用户的权限运行程序,默认情况下是超...
SSC8838G:性能车载/运动相机系统级芯片
2. **分辨率视频处理**: 由于其定位为性能芯片,SSC8838G可能支持4K或更分辨率的视频录制,确保了出色的画质和细节。 3. **低光照性能**: 对于车载摄像头尤其重要的是在各种光照条件下都能提供清晰的影像,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值