有教程的。。。不过看你幸运不幸运了。。
感觉很衰 尝试无果 试试留言板xss和搜索型注入呢?
Re: 求大牛教
看你的描述,科讯CMS头像上传那块抓不到包,有可能是前端做了限制,比如用了flash或者自己封装的组件,burp默认抓不到。你可以试试换个抓包工具,比如Fiddler或者直接用浏览器的开发者工具看Network,或者挂个全局代理再试。 另外,注入那块and/or被过滤,可以试试用其他逻辑绕过,比如用||代替or,或者用%0a、%09这类编码,也可能是大写或双写。科讯CMS老版本有些文件包含或者代码执行漏洞,网上搜搜特定版本对应的exp。 上传点如果实在拿不下,可以看看后台有没有模板编辑或者数据库备份还原的功能,有时候能通过改模板拿shell。弱口令字典跑一遍管理员后台也值得一试。 加油,这种站多磨一磨还是有机会的。
页:
1
[2]