接到领导通知,要对某个客户的资产做一次渗透,客户只给了一个C段IP,具体的资产需要自己去收集通过fofa搜索后,拿到一堆的资产。看了一遍发现客户有个金和的OA系统,于是就有了下面的故事打开后就是个登录...
04月24日55 views评论密码
用户
记一次项目上的漏洞挖掘
04月24日55 views评论密码
用户
04月24日55 views评论密码
用户
基于JXWAF快速搭建钓鱼网站
一、前言前段时间为了加强内部安全意识,需要进行钓鱼邮件演练,于是通过JXWAF快速搭建了一个钓鱼网站,发现效果不错,特此分享。PS:本文仅用于技术讨论及分享,严禁用于非法用途二、规则配置首先假设攻击场...
03月24日110 views2oa
钓鱼
记一次某oa的黑盒漏洞挖掘
WinterSolstice点击蓝字 关注我们特别声明本篇文章只用来作为技术分享,请勿将此技术用于违法活动上。不得将以下内容用于商业或者非法用途,否则,一切后果请读者自负。再次声明,仅供学习研究。以下...
01月30日151 views评论cookie
sql注入
记一次对俩OA协同办公系统的审计分析 - H1NMaster
以下内容仅供技术研究学习使用! 严禁用于非法操作! 切实维护国家网络安全,普及相关网络安全知识是信安从业者的义务! 介绍 天生创想OA办公系统是适用于中小型企业的通用型协同OA管理软件,融合了天生创想...
12月31日160 views评论oa
办公
通达OA前台任意用户伪造登录漏洞复现
点击上方蓝色字体关注我们,一起学安全!本文作者:shiyi(团队正式成员)本文字数:544阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介通达OA采用基于WEB的企业计算,主H...
12月07日235 views评论oa
伪造
实战|记一次后门连接应急响应
首发于奇安信攻防社区地址:https://forum.butian.net/share/840概述2021年3月9日晴,嘴里叼着一块五的豆沙包在8点59分59秒踩着点最后一秒的时间右脚先踏进了办公室的...
11月23日67 views评论后门
应急响应
记一次在梦中对某oa系统的漏洞挖掘
0X01正文打开网站……先用7kb扫一波目录。哦吼,发现了一堆的目录遍历(绿色的都是)这里一个 Log目录十分的显眼,很有可能造成log泄露。okey,如我所料收获了一个通用中危洞 √27450-kw...
11月11日82 views评论log
目录
泛微e-cology OA 系统远程代码执行漏洞
声明 好好学习,天天向上 漏洞描述 2019年9月19日,泛微e-cology OA系统自带BeanShell组件被爆出存在远程代码执行漏洞。攻击者通过调用BeanShell组件中未授权访问的问题接口...
11月04日286 views泛微e-cology OA 系统远程代码执行漏洞已关闭评论cology
oa
攻防演练中红队容易击破的一些重点系统漏洞整理
文章来源:LemonSec一、OA系统泛微(Weaver-Ecology-OA)🔸 泛微OA E-cology RCE(CNVD-2019-32204) 影响版本7.0...
10月01日411 views评论https
oa
蓝凌OA custom.jsp 任意文件读取漏洞
一:漏洞描述🐑深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。二: 漏洞影响🐇蓝凌OA三: 漏洞复现🐋FOFA: app="La...
10月01日1,371 views评论oa
漏洞
X凌OA系统任意文件读取-DES解密
X凌OA系统任意文件读取-DES解密一、漏洞描述深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息二、漏洞影响蓝凌OA三、利用 蓝凌OA custom.js...
09月19日165 views评论oa
漏洞
读取向日葵绕360打内网
文章源自【字节脉搏社区】-字节脉搏实验室作者-lation扫描下方二维码进入社区:在某次演练打点信息收集的时候发现资产里面有某OA,正好上个月爆出了他的漏洞,具体看清水川崎师傅的《HVV行动之某OA流...
09月10日88 views评论oa
powershell
20