siteserver3.6.4非常好用的xss盲打进后台可shell

iteserver, .net下最强cms,功能确实很强大,但是 xss盲打后台。 后台限制不多,shell很容易。。。。由于asp.net默认是在高权限运行的,是吧, 在3.6.4 站点管理>功能管理>提交表单 中,默认的表单提交未做任何过滤,导致了xss盲打后台。 就插了下 1 后来有一天cookie到了 2 登上去,才发现是siteserver的,3.6.4 我其实xss了两下,都成功了。。。 3 称赞了下他们官网。不过不得不说siteserver功能还真强 这时惊悚地发觉这是一个通用型!!!!!!!!! 他们用的提交表单是默认配置!!!!!!!!!!!!!! 4 用的官方给的stl写的!!!!也就是说siteserver上有可能涉及到表单的都有这个问题!!!!! 5

1 条评论

  1. xx

    没意义 进了这种程序的漏洞说真的有点多。。。已经扫了600多个这种程序网站了

发表评论