偶遇挖洞.md

title	tags	abbrlink	date
偶遇挖洞	挖洞 xss 万能密码	64100	2022-05-26 06:34:45 -0700

偶遇挖洞经历

一波谷歌hack，已知某后台地址 /manage/login.asp,后台万能密码：'or'='or' 可直接登陆

1.后台万能密码登录

账号root，万能密码 'or'='or'这直接进入后台

2.xss漏洞

在前端找到一处搜索框，f12，使用双引号闭合

xss测试

"><script>alert("XSS")</script>