蝉知CMS 7.0.1 反射型XSS

释放双眼,带上耳机,听听看~!
蝉知cms7.0.1 搜索框反射型XSS首先在前台习惯性插入payload看存不存在XSS-->'"><h1>XSS</h1>结果发现GG了,原因是没有经过编码,使用了伪静态,搜索的内容直接构造了一个错误的url用小葵将payload编码一下%2D%

蝉知cms 7.0.1  搜索框反射型XSS

首先在前台习惯性插入payload看存不存在XSS

-->'"><h1>XSS</h1>

image.png

结果发现GG了,原因是没有经过编码,使用了伪静态,搜索的内容直接构造了一个错误的url

用小葵将payload编码一下

%2D%2D%3E%27%22%3E%3C%68%31%3E%58%53%53%3C%2F%68%31%3E

image.png

结果还是GG,因为服务器在接收到url之后回自动对参数进行一次解码

那我们再编码一次

%25%32%44%25%32%44%25%33%45%25%32%37%25%32%32%25%33%45%25%33%43%25%36%38%25%33%31%25%33%45%25%35%38%25%35%33%25%35%33%25%33%43%25%32%46%25%36%38%25%33%31%25%33%45

image.png

这次ok了,而且貌似有XSS,具体分析下

image.png

查看源代码发现,单引号即可绕出字符串,但外面的<>应该被过滤了,试下’><h1>看看

image.png

果然被吃了,那就只能在input标签里面搞事情了

试试oncut=alert(0)

A' oncut='alert(0)

image.png

可以的,chrome已经标红了,火狐里面试试

image.png

对搜索框内容剪贴之后直接弹了

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

360安全大脑:数聚AI构筑未来安全生态

2018-5-18 8:30:28

HackerNews

2018 | 物联网安全能力提升高级实践培训

2018-5-18 11:53:43

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索