### 简要描述:
1.通用漏洞
2.本案例中,很多(1900+)企业的邮件系统都托管在同一个服务器上,那么,理论上我将得到多少信息?
### 详细说明:
举例说明
1.通过http://mail.aodacn.com/nmc/cgi/index.cgi登陆后台
2.注入点如下:
http://mail.aodacn.com/nmc/cgi/ann.cgi?__mode=edit_ann&sid=gcipW8QUgtZsKVRpHWPKcFtjadministrator-aodacn_com&ann_id=47&screen=edit_ann.html
其中,ann_id存在注入
3.
[<img src="https://images.seebug.org/upload/201406/20195716aef918b48cced9b65361db04c4836dfd.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/20195716aef918b48cced9b65361db04c4836dfd.png)
[<img src="https://images.seebug.org/upload/201406/20195733253b2913bb9c021f51ce19e9121f8b63.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/20195733253b2913bb9c021f51ce19e9121f8b63.png)
4.
注:aodacn.com只是托管在gmail.fangmail.net上的一个域名而已,所以危害甚大。
### 漏洞证明:
That's it.
京公网安备 11010502034610号
暂无评论