siteserver3.6.4非常好用的xss盲打进后台可shell

C4r1st · 发表于 2014-5-17 12:35:43

在3.6.4 站点管理>功能管理>提交表单中，默认的表单提交未做任何过滤，导致了xss盲打后台。

QQ截图20140517112339.png

就插了下

后来有一天cookie到了
QQ截图20140517112416.png

登上去，才发现是siteserver的，3.6.4

我其实xss了两下，都成功了。。。
QQ截图20140517112503.png

称赞了下他们官网。不过不得不说siteserver功能还真强

这时惊悚地发觉这是一个通用型！！！！！！！！！

他们用的提交表单是默认配置！！！！！！！！！！！！！！
QQ截图20140517112916.png

用的官方给的stl写的！！！！也就是说siteserver上有可能涉及到表单的都有这个问题！！！！！