Kategori: Pentest

Mybb login form pentest

2 dakikalık tarama ile hidden gösterilen bir inputun member.php dosyasında redirect url olarak geçtiğini yakaladık Mybb kurulu sitenin anasayfasına girip F12(öğeyi denetle) yapalım ctrl + f ile <input name=”url” type=”hidden” arayalım value içine site adresimizi yazalım <input name=”url” type=”hidden” value=”https://underfamily.org”> Kullanıcıya giriş yapınca member.php sizi underfamily.org adresine yönlendirecek Mybb neden böyle bir işlem yapmış anlamadık…


Mirror-h xss vulnerability

Multiple zone alma bölümünde gerçekleştirilen javascript işlemlerinde çıkan sonuçta html çalıştırılabiliyor. www.mirror-h.org/multiple/ adresine girelim sitelerin olduğu textarea’ya yazalım ; </textarea><h1>underfamily.org</h1> Bu şekilde sonuç alacağız xss vuln başarılıdır.