注册    登录
专栏名称: 狐狸说安全
隶属于One-Fox安全团队旗下 致力于红蓝对抗,WEB安全渗透测试,内网渗透,钓鱼社工,定期分享原创工具与分享他人常用开源安全工具和教程等前沿网络安全资源。
我也要提交微信公众号
今天看啥
公众号rss, 微信rss, 微信公众号rss订阅, 稳定的RSS源
目录
相关文章推荐
笔吧评测室  ·  机械革命蛟龙 16 ... ·  23 小时前  
笔吧评测室  ·  Dynabook 更新 Portégé 和 ... ·  昨天  
笔吧评测室  ·  魅族 PANDAER ... ·  昨天  
笔吧评测室  ·  雷神 ZERO 16 Pro ... ·  2 天前  
福建省广播电视局  ·  节目评析 | ... ·  2 天前  
今天看啥  ›  专栏  ›  狐狸说安全

记某次渗透测试项目一个站点直接爽歪歪

狐狸说安全  · 公众号  ·  · 2025-03-25 10:28
    

文章预览

免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 狐狸说安全 及作者不为 此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 0x01 概述 某天好兄弟给了个项目,打个组合拳直接拿下服务器root权限。 0x02 正文 开局拿到目标资产开始信息收集,找到了这样一个站。 定睛一看,这不是Jeecg-Boot么,于是我直接掏出专项工具打了一波 发现失败了,这个时候我在想要么路径不对要么没有洞,我抱着试一试的态度去找了一下路径,再次尝试历史漏洞。 发现存在getDictItemsByTabl接口SQL注入漏洞,紧接着去拿着payload链接访问了一下 发现漏洞点确实存在 可是jeecg-boot的密码是加盐加密处理的,于是我把页面中的数据保存下来,开始手写脚 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览
推荐文章
笔吧评测室  ·  机械革命蛟龙 16 Pro配置上新:R9-8945HX / R9-7845HX 配 RTX5070国补后 6399 元起
23 小时前
笔吧评测室  ·  Dynabook 更新 Portégé 和 Tecra 系列商务笔记本,搭载第二代酷睿 Ultra 处理器
昨天
笔吧评测室  ·  魅族 PANDAER 联合联想拯救者推出“Y9000P 至尊版白金独角兽限定电竞本”,5 月 13 日亮相
昨天
笔吧评测室  ·  雷神 ZERO 16 Pro 笔记本配置上新:Ultra 9 275HX+RTX 5080,首发价 17999 元
2 天前
福建省广播电视局  ·  节目评析 | 电视剧《仁心俱乐部》:在治愈与被治愈之间——论医疗剧的温暖现实主义表达
2 天前
天然橡胶  ·  天然橡胶网25年荣耀时刻 千户成交共谱新篇章
11 月前
FM93交通之声  ·  国家一级演员去世!
10 月前
新华网  ·  提速50公里,意味着什么?
4 月前
南京日报  ·  王星已回国!中使馆最新提醒
4 月前
南京日报  ·  王星已回国!中使馆最新提醒
4 月前
关于   移动版   ·   Py中国   ·   RSS之家   ·   CodingPro   ·   Code   ·   Link之家   ·   卧龙AI搜索   ·   小百科   ·   小百科(海外)   ·   Link管理
今天看啥 - 公众号rss, 微信rss, 微信公众号rss订阅, 稳定的RSS源
© 2025 ~ 沪ICP备11025650号