siteserver3.6.4非常好用的xss盲打进后台可shell

  • A+
所属分类:漏洞时代
摘要

iteserver, .net下最强cms,功能确实很强大,但是
xss盲打后台。
后台限制不多,shell很容易。。。。由于asp.net默认是在高权限运行的,是吧,

iteserver, .net下最强cms,功能确实很强大,但是
xss盲打后台。
后台限制不多,shell很容易。。。。由于asp.net默认是在高权限运行的,是吧,

在3.6.4 站点管理>功能管理>提交表单 中,默认的表单提交未做任何过滤,导致了xss盲打后台。

就插了下
siteserver3.6.4非常好用的xss盲打进后台可shell
后来有一天cookie到了
siteserver3.6.4非常好用的xss盲打进后台可shell
登上去,才发现是siteserver的,3.6.4

我其实xss了两下,都成功了。。。
siteserver3.6.4非常好用的xss盲打进后台可shell

称赞了下他们官网。不过不得不说siteserver功能还真强

这时惊悚地发觉这是一个通用型!!!!!!!!!

他们用的提交表单是默认配置!!!!!!!!!!!!!!

siteserver3.6.4非常好用的xss盲打进后台可shell
用的官方给的stl写的!!!!也就是说siteserver上有可能涉及到表单的都有这个问题!!!!!
siteserver3.6.4非常好用的xss盲打进后台可shell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: