zzcms 8.2 - 代码天地

zzcms 8.2

其他 2018-11-15 23:36:42 阅读次数: 0

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/caiqiiqi/article/details/83582030

zzcms 8.2反射型XSS

install/index.php反射型XSS

问题出现在install/index.php的123行中包含了install/step_6.php文件

而在install/step_6.php中直接将用户名/密码echo出来，造成了反射型。
在这里插入图片描述

Demo

只需要在用户名密码处填写基本的XSS payload即可，然而这个漏洞需要在没安装的情况下，或者更准确地说是不存在install/install.lock文件的情况下。
在这里插入图片描述

zx/show.php存储型XSS

在发布资讯信息处user/zxadd.php：

会被提交到user/zxasave.php。
在这里插入图片描述
查看user/zxsave.php:

在这里插入图片描述

在inc/stopsqlin.php中过滤了用户发出的请求。
在这里插入图片描述
参考：
https://www.freebuf.com/column/165934.html

猜你喜欢

转载自blog.csdn.net/caiqiiqi/article/details/83582030

代码审计 | zzcms8.2

ZZCMS8.2 用户密码重置漏洞

2020/2/16 zzcms8.2代码审计

2020/2/17 zzcms8.2 PHP代码审计（持续更新）

zzcms 8.2

zzcmsV8.2之SQL注入漏洞审计

zzcms v8.2 中的众多cve分析

8.2

ZZCMS201910代码审计

8.2 函数

8.2 JWT

代码审计学习—zzcms存储型xss

春秋云境：CVE-2021-40282（zzcms注入）

8.2 与Apache Tomcat集成

8.2日报

8.2日感想

1329：【例8.2】细胞

8.2 练习题

Python8.2

8.2 学习笔记

8.2计数排序

8.2javascript语法

【例8.2】细胞

算法笔记 8.2 BFS

python_day8.2

gcc8.2安装

8.2 YUM的使用

暑假计划 - 8.2 总结

8.2笔记

Vim 8.2 发布

今日推荐

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

GCC 14.1 发布

面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」

开源日报 | 谷歌扶持鸿蒙上位；开源Rabbit R1；Docker加持的安卓手机；微软的焦虑和野心；海尔电器把开放平台关了

中国码农的“35岁魔咒”

蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版，免费下载

Arc Browser for Windows 1.0 正式 GA

90后程序员开发视频搬运软件、不到一年获利超 700 万，结局很刑！

周排行

Java自定义时间格式

同步整形电路

在开发中最最最常用的字符串的属性大集合

Linux 查看端口占用并杀掉

Java基础四：ArrayList

多线程之死锁就是这么简单

mysql 基础命令集

awk 命令详解

Centos6.3编译安装nginx+php步骤

OCR （Optical Character Recognition，光学字符识别）

每日归档

更多

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)

2024-05-04(7)

2024-05-03(19)

2024-05-02(0)

2024-05-01(4)

2024-04-30(1)

2024-04-29(40)