CVE-2021-45416 PoC — RosarioSis 跨站脚本漏洞

来源

https://github.com/dnr6419/CVE-2021-45416

关联漏洞

标题:RosarioSis 跨站脚本漏洞 (CVE-2021-45416)
Description:RosarioSis是一个免费和开源的学生信息系统。用于管理学生，创建报告并做出正确的决策。 RosarioSIS 8.2.1存在跨站脚本漏洞，该漏洞允许攻击者可利用该漏洞通过调度课程.php脚本模块中的搜索词参数注入任意HTML。

Description

Stored XSS Vulnerability on RosarioSIS 8.2.1

介绍

Docker RosarioSIS
=================

## Installation

Minimum requirements: [Docker](https://www.docker.com/) & Git working.

You can pull the image from [DockerHub](https://hub.docker.com/r/rosariosis/rosariosis) or:

1. docker on
```bash
$ git clone https://github.com/dnr6419/CVE-2021-45416.git
$ cd CVE-2021-45416
$ docker-compose up -d
```

2. Visit the URL and Install the Database

<pre>
http://YOURIP:80/InstallDatabase.php
</pre>

3. Than, Go to the [http://YOURIP:80/InstallDatabase.php]

4. Default admin/password is "admin/admin"

5. Go to the Scheduling -> Student Schedule 
<img src="https://user-images.githubusercontent.com/43310843/153820116-b8cc67b9-1ac3-4aff-95ee-837548bd2d27.png" width="70%" height="20%">


6. Course Choose and click the search
<img src="https://user-images.githubusercontent.com/43310843/153820615-eddcbe92-31c9-4d7a-ad8e-0d0b98edfa68.png" width="70%" height="20%">

7. Input the XSS payload 
<img src="https://user-images.githubusercontent.com/43310843/153820700-4be9143d-1dfd-4699-a7b6-28743d9ee940.png" width="70%" height="20%">

8. You can See the alert 
<img src="https://user-images.githubusercontent.com/43310843/153820773-c0d7901b-96f7-4e8d-bdfe-0de54d4dba2c.png" width="70%" height="20%">



#### referernce
https://github.com/86x/CVE-2021-45416<br>
https://github.com/francoisjacquet/docker-rosariosis

文件快照

登录后查看神龙缓存的 POC 文件快照

登录查看

备注

1. 建议优先通过来源进行访问。

2. 本地 POC 快照面向订阅用户开放；当原始来源失效或无法访问时，本地镜像作为订阅权益的一部分提供。

查看订阅方案 →

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2021-45416 PoC — RosarioSis 跨站脚本漏洞

来源

关联漏洞

Description

介绍

文件快照

备注

目标达成感谢每一位支持者 — 我们达成了 100% 目标！