开局一张图,经常打穿内网的各位应该对这个系统很熟悉,老版本某维服务器经典界面。其实已经有很多大佬对这个系统进行过详细的分析了,包括信息泄露、SQL注入等等漏洞在网上也有公开的研究文章。在这篇文章中,我与大家分享一种相对容易操作的方式,即通过应用本身的特性获取服务器权限的方法。
拿着抓到的密码到处登录,获取了三四台机器的权限,登录到这些机器中翻找有用的信息,找到了本地的浏览器密码记录。
拿着明文密码,我们又拿到了人力资源管理系统、安全监控平台以及一个比较重要的云服务器权限。下面是云服务器截图,由于是超级管理员权限,所以直接控制了整个内网的服务器。
原文始发于微信公众号(赤弋安全团队):记某次HVV:通过windows特性打穿内网
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论