发布任意内容

在笔记模块点击“增加内容”按钮，可以发布任意内容，功能对标pastebin。

比如在前面说到的XXE漏洞利用中，我们需要发布一个ENTITY：

我们就可以利用CoNote的笔记功能，增加一个内容为ENTITY的文件，如上图。

再举个例子，我们测试Safari中分号;可以代替=号的特性，就可以在CoNote中增加一个内容：

其内容为待测试的html/js代码，注意，我设置其Content-Type为text/html，这样才能让浏览器认为其是一个html。

提交以后，用safari访问之：

成功执行，说明这个特性在safari确实存在。

“增加内容”这个功能在测试前端漏洞的时候尤为方便，利用前端漏洞时也可以用到。

比如，我们找到某网站的反射型XSS，就可以在CoNote里直接增加一个iframe框架，将URL填入，然后该页面发送给管理员执行；或者，在利用CSRF漏洞的时候，可以将编写好的JavaScript/HTML直接写在CoNote中，然后设置好Content-Type为application/js及text/html，等待目标中招即可；甚至，我们可以直接将可交互的XSS平台的Payload增加在CoNote中，然后交互来攻击目标：