免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:baobeiaini_ya
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
在某系统发现在导入文件时,文件内容没有进行过滤导致存储型xss注入,可以发送任何人或提交模板(管理员会审查)危害挺大的。 然后提交漏洞后他进行了修复,但是只是将导入功能的元素给隐藏了功能还在(接口),可以F12修改显示然后又是一次绕过,但是 每次手动修改太麻烦了,而且如果对于不熟悉的系统就需要一个个去找被隐藏的元素(出现几率小,工作量大),所以就做了一个自 动识别隐藏的可点击元素并显示出来,而且文件导入只是一个利用点,还有其他可能被隐藏起来危险功能点。
工具使用
1、这里以webgoat为例,这里的Admin下拉框被隐藏起来了
2、点击Show Hidden,可以显示被隐藏的可点击元素,再次点击可以恢复回去 1
3、导入插件教程
工具获取
点击关注下方名片进入公众号
回复关键字【250304】获取下载链接
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...