方维团购系统存储型XSS可盲打后台

  • A+
所属分类:漏洞时代
摘要

fanwe团购系统存在XSS可以获得管理员cookie并且进入后台首先在一个商品进去,里面会有退款留言,都会有的就算支付了会有。

fanwe团购系统存在XSS可以获得管理员cookie并且进入后台

首先在一个商品进去,里面会有退款留言,都会有的就算支付了会有。

然后评论可以添加XSS,管理员每天都会查看,查看的时候就会取得管理员COOkie

然后通过cookie访问

然后进入后台

后台有SQL语句执行,可以通过它导出一句话,然后拿到webshell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: