内部文章,禁止外泄!
漏洞URL : http://bbs.lenovogame.com/bbs/common/topic/index.do?id=69153
0. 我们开始打开漏洞的地址
这里是需要登录或者注册,到时候自己注册登录一下就可以看到如下这个界面了。
1. 插入Xss代码
在帖子的评论区域插入代码<scRiPt>alert(1);</scrIPt>,如图
说实话也是运气好,我这段代码很早以前就插进去了,在电脑版的网页中,没有弹窗,但换到手机版本却有奇效(大家一定要多多测试,不要漏掉每一个细节)
2. 打开帖子查看
点击帖子处后可以看到下图的效果
可以看到这里已经弹窗了,那么我们再深入利用一下
3. 接着查看下是否有接受到Cookie
成功获取到Cookie,说明是存在Xss的
十年寒窗无人问,一举成名天下知
– Cai_Team
