• 某OA系统从SYSTEM权限SQL注入到内网漫游

    AdminAdmin 2020-05-08

    0x01 发现漏洞七月正值暑假,闲暇时光在百度上inurl一番,找到了一个古老的企业OA系统IP站点,没有域名,扫过一眼,.NET流行时代的普遍漏洞浮现在脑海里——SQL注入在用户名里输入admin’,不负期望地报了错很明显,前后端都没有对用户的输入进行过滤,直接将’带入了SQL语句进行。初步判断,此OA系统存在SQL注入漏洞。0x02 漏洞验证打开Burp...

    已有118人围观 ,发现 0个评论
  • 绝路逢生出0day——SYSTEM权限内网漫游

    AdminAdmin 2020-05-06

    也很晚,前段时间记录了测试过程。  las,每当您学到一些东西时,就必须放松一会儿。 全文高强度编码。0x00 一个登录框使用google hacking语法,翻了一翻,锁定了目标范围内一个看起来普普通通的登录页面。aspx写的页面,应该是Windows服务器。顺手点了一下找回密码,需要提供注册使用的邮箱,没有提前搜集邮箱信息,放弃任意密码重置。爆...

    已有116人围观 ,发现 0个评论
1
最新留言
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客