注册    登录
今天看啥  ›  专栏  ›  黑白之道

SRC众测捡漏

黑白之道  · 公众号  · 互联网安全  · 2021-03-25 10:03
文章来源:None安全团队在某众测厂商发现gitlab  作为多年搜索引擎练习生 需要百度一下怎么办了这里一般会出现两种问题:注册进去 里面会有公开的代码项目(配置文件 阿里云ak……想想就美妙 这样肯定直接严重)cve漏洞任意文件读取(需要摸清楚路径读取 还需要有权限 这样的话严重好像有点难)于是进去看了看 发现都是之前有人测过的痕迹 xss的payload到处都是 但是没公开项目源码 这里就没啥收获了 。所以这里就开始执行思路2 cve漏洞复现添加新项目2.按上面的步骤 再创建一个t2选择t1 添加问题payload:![a](/uploads/11111111111111111111111111111111/../../../../../../../../../../../../../../etc/passwd)点击编辑 移动到t2这个权限是比较低的 很难去读取有用的文件这里对shadow 宝塔配置文 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
推荐文章
sunwear  ·  我现在不是每天都要吃降压药嘛,每天两次,我设置了每天固定时间的闹-20240524161953
23 小时前
计算机与网络安全  ·  政务云平台 云原生应用底座对接规范(仅星球内下载)
3 天前
嘶吼专业版  ·  嘶吼安全产业研究院 | 《鉴于止水·无行地难:工控安全行业应用专题报告 2024》重磅发布
3 天前
sunwear  ·  外面到底是怎么传我的? -20240521120658
4 天前
看雪学苑  ·  12秒窃走2500万美元加密货币,麻省理工毕业的黑客两兄弟被捕
4 天前
健康鄂尔多斯官方  ·  【健康科普】越跑步,膝盖越废……是真是假?
1 月前
OSC开源社区  ·  划时代!微软发布ChatGPT版搜索引擎
1 年前
团800武汉  ·  【44】Delon 红石榴身体乳196g加拿大的一个牌子,主打-20200909161536
3 年前
设计部落  ·  设计公益——甘肃省白银市张家台子村十二号院
5 年前
中国职业教育  ·  通知 | 关于组织启动“未来校园云平台系统”捐赠计划的通知
5 年前
关于   移动版   ·   Py中国   ·   RSS之家   ·   codingpro   ·   Code   ·   link之家   ·   卧龙AI搜索   ·   藏经阁   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号