#利用title: XMB中的持续XSS 1.9.12.06
#日期: 06/12/2024
#利用作者: Chokri Hammedi
#供应商homepage: https://www.xmbforum2.com/
#软件link: https://www.xmbforum2.com/download/xmb-1.9.9.12.06.zip
#版本: 1.9.12.06
#在: Windows XP上测试
#CVE: N/A。
##漏洞详细信息
在XMB 1.9.12.06中发现了持久(存储的)XSS漏洞。
该漏洞允许攻击者注入恶意的JavaScript代码
进入模板或特定字段。此有效载荷存储在服务器上
并在访问论坛的任何用户的浏览器中执行,导致
潜在的会话劫持,数据盗窃和其他恶意活动。
### XSS在模板中
攻击者可以将恶意JavaScript代码注入模板:
1。登录为Admin:访问具有管理员特权的XMB论坛。
2。导航到管理面板:转到
感觉“选择“模板”。这将转到`/cp2.php?action=模板。
选择“页脚”模板,然后单击“编辑”。
3。输入PAYLOAD:在页脚模板中添加XSS有效载荷:
scripttalet('xss');/script
4。保存更改:单击“提交更改”。
5。触发有效载荷: XSS有效载荷将触发页脚的任何地方
渲染模板。
### XSS在新闻股票中
攻击者可以将恶意的JavaScript代码注入新闻股票字段
首页选项:
1。登录为Admin:访问具有管理员特权的XMB论坛。
2。导航到管理面板:转到
“设置”转到“首页选项”。
3。输入PAYLOAD:在“ NewSticker” Field:中添加XSS有效载荷
img src=x OneError=alert(1)
4。保存更改:单击“提交更改”。
5。触发有效载荷: XSS有效载荷将触发新闻的任何地方
股票显示,例如主页
#日期: 06/12/2024
#利用作者: Chokri Hammedi
#供应商homepage: https://www.xmbforum2.com/
#软件link: https://www.xmbforum2.com/download/xmb-1.9.9.12.06.zip
#版本: 1.9.12.06
#在: Windows XP上测试
#CVE: N/A。
##漏洞详细信息
在XMB 1.9.12.06中发现了持久(存储的)XSS漏洞。
该漏洞允许攻击者注入恶意的JavaScript代码
进入模板或特定字段。此有效载荷存储在服务器上
并在访问论坛的任何用户的浏览器中执行,导致
潜在的会话劫持,数据盗窃和其他恶意活动。
### XSS在模板中
攻击者可以将恶意JavaScript代码注入模板:
1。登录为Admin:访问具有管理员特权的XMB论坛。
2。导航到管理面板:转到
/cp.php,然后在“外观”中感觉“选择“模板”。这将转到`/cp2.php?action=模板。
选择“页脚”模板,然后单击“编辑”。
3。输入PAYLOAD:在页脚模板中添加XSS有效载荷:
scripttalet('xss');/script
4。保存更改:单击“提交更改”。
5。触发有效载荷: XSS有效载荷将触发页脚的任何地方
渲染模板。
### XSS在新闻股票中
攻击者可以将恶意的JavaScript代码注入新闻股票字段
首页选项:
1。登录为Admin:访问具有管理员特权的XMB论坛。
2。导航到管理面板:转到
/cp.php,然后在“设置”转到“首页选项”。
3。输入PAYLOAD:在“ NewSticker” Field:中添加XSS有效载荷
img src=x OneError=alert(1)
4。保存更改:单击“提交更改”。
5。触发有效载荷: XSS有效载荷将触发新闻的任何地方
股票显示,例如主页