积木报表RCE_0day

1、漏洞描述 接口是积木报表自带接口,正常访问会提示权限不足,但利用jmLink=YWFhfHxiYmI=可绕过权限校验。绕过权限校验后,可在请求体中注入内存马,可获取服务器权限。 2、漏洞路径 /j...
admin 08月02日安全漏洞154 views评论rce 权限
阅读全文

红队信息收集方法

面向国内企业的信息收集及钓鱼方式(瞎说) 企查查、爱企查等各类企业查询大型公司子公司的账号都可以从淘宝购买,只看100%控股的子公司 子公司拿到服务器权限是否有可能在母公司内网 如果没有,是否可以通过...
admin 07月20日HW&HVV45 views评论信息收集 权限
阅读全文
HW&HVV

HW中的攻击方思考

0x00 前言   本篇文章是攻防演练中攻击方是如何打开缺口的方法的总结。文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告)思路朴素不包含钓...
admin 07月04日30 views评论弱口令 敏感数据
阅读全文