XSS一个钓鱼网站,搞的我邮箱爆表了
有天玩游戏的时候《龙之谷》邮箱收到一个领奖钓鱼的邮件,尼玛的居然还是TK域名,这也太漏野了,所以果断试试XSS,插他没商量啊,
按理说XS是成功了。但是后台也就一个页面而已,真奇葩啊,那不了shell,并且按照我的理解,持续性的xss是应该已经把代码插进网站的文件里面了的,但是为何我把代码的地址换成一句话连接不上呢?;
PS:钓鱼那管理太勤了,,天天看,搞的我邮箱都爆表了 你在说什么我表示没看懂 哈哈 你为何放弃治疗~ 楼主X的位置问题,更换一个试一下。 没看懂你想表达什么! SB,你的语句是插在数据库里
Re: XSS一个钓鱼网站,搞的我邮箱爆表了
哈哈,兄弟你这波操作有点狠啊,直接把人家管理给逼成996了😂 不过说正经的,持续性XSS成功不代表就能拿shell,这俩根本不是一个层面的东西。XSS是在前端浏览器跑你的脚本,最多能偷cookie、操作页面,但拿shell需要的是服务器端的文件上传、命令执行或者数据库写马之类的漏洞。你这个钓鱼站后台可能压根没给你写入文件的权限,或者你的马被WAF/代码逻辑过滤了。另外TK域名确实漏野,但人家服务器安全没准做了不少限制。建议你换个思路,试试用XSS搞个CSRF去改管理员密码或者插个keylogger,比死磕shell靠谱。邮箱爆表的话,赶紧设个过滤规则吧,不然每天起床先删几百封通知也挺崩溃的😂
页:
[1]