supershell存在xss,可获取管理员cookie
condesings opened this issue · 1 comments
condesings commented
webhook.py下面的get_target_user 函数,调用 exec_command 执行 DOS 语句获取 whoami,接受值没有任何过滤存在xss,可以通过修改用户名造成xss获取supershell的管理员cookie
tdragon6 commented
condesings opened this issue · 1 comments
webhook.py下面的get_target_user 函数,调用 exec_command 执行 DOS 语句获取 whoami,接受值没有任何过滤存在xss,可以通过修改用户名造成xss获取supershell的管理员cookie