siteserver3.6.4非常好用的xss盲打进后台可shell

iteserver, .net下最强cms,功能确实很强大,但是
xss盲打后台。
后台限制不多,shell很容易。。。。由于asp.net默认是在高权限运行的,是吧,

在3.6.4 站点管理>功能管理>提交表单 中,默认的表单提交未做任何过滤,导致了xss盲打后台。

就插了下
1
后来有一天cookie到了
2
登上去,才发现是siteserver的,3.6.4

我其实xss了两下,都成功了。。。
3

称赞了下他们官网。不过不得不说siteserver功能还真强

这时惊悚地发觉这是一个通用型!!!!!!!!!

他们用的提交表单是默认配置!!!!!!!!!!!!!!

4
用的官方给的stl写的!!!!也就是说siteserver上有可能涉及到表单的都有这个问题!!!!!
5

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录

  • 1 Responses to “siteserver3.6.4非常好用的xss盲打进后台可shell”
    • xx

      没意义 进了这种程序的漏洞说真的有点多。。。已经扫了600多个这种程序网站了