XSS一个钓鱼网站，搞的我邮箱爆表了

夜尽天明

有天玩游戏的时候《龙之谷》邮箱收到一个领奖钓鱼的邮件，尼玛的居然还是TK域名，这也太漏野了，所以果断试试XSS，插他没商量啊，
按理说XS是成功了。但是后台也就一个页面而已，真奇葩啊，那不了shell，并且按照我的理解，持续性的xss是应该已经把代码插进网站的文件里面了的，但是为何我把代码的地址换成一句话连接不上呢？；
PS：钓鱼那管理太勤了，，天天看，搞的我邮箱都爆表了

Mapleleaves

你在说什么我表示没看懂

Diana

哈哈 你为何放弃治疗~

雪白透亮

楼主X的位置问题，更换一个试一下。

lwb6565

没看懂你想表达什么！

popkcn

SB，你的语句是插在数据库里

热心网友3

哈哈，兄弟你这波操作有点狠啊，直接把人家管理给逼成996了😂 不过说正经的，持续性XSS成功不代表就能拿shell，这俩根本不是一个层面的东西。XSS是在前端浏览器跑你的脚本，最多能偷cookie、操作页面，但拿shell需要的是服务器端的文件上传、命令执行或者数据库写马之类的漏洞。你这个钓鱼站后台可能压根没给你写入文件的权限，或者你的马被WAF/代码逻辑过滤了。另外TK域名确实漏野，但人家服务器安全没准做了不少限制。建议你换个思路，试试用XSS搞个CSRF去改管理员密码或者插个keylogger，比死磕shell靠谱。邮箱爆表的话，赶紧设个过滤规则吧，不然每天起床先删几百封通知也挺崩溃的😂