LAC WEB控制中心后台XSS漏洞
漏洞描述
通过信息泄露获取系统登录账号密码,进入系统收获sql注入漏洞和存储XSS两枚(因为只是简单测试,可能还存在其他漏洞,有兴趣的小伙伴可以深挖下)
漏洞影响
LAC WEB控制中心
FOFA
body="欢迎进入LAC WEB控制中心"
漏洞复现
通过下载README.md文件,获取账号密码
登录进入后台
后台分组管理创建信息组名称处存在存储XSS
payload:
123”><svg onload=alert(document.cookie)><”信息输入完成后提交表单,点击返回按钮,弹出cookie信息
每次访问该界面都会触发该存储XSS