专栏名称: 宸极实验室
『宸极实验室』隶属山东九州信泰信息科技股份有限公司,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。实验室圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
今天看啥  ›  专栏  ›  宸极实验室

『红蓝对抗』某云平台通用型 SQL 注入漏洞挖掘

宸极实验室  · 公众号  ·  · 2024-05-20 17:00
    

文章预览

点击蓝字 关注我们 日期:2024年05月20日 作者:goout 介绍:记一次授权黑盒测试指定目标的任务中,在时间紧张、测试内容量大的情况下,快速打点发现通用型 SQL 注入漏洞的过程。 0x01 任务需求 已知测试目标为某乳业集团有限公司所属资产,自行收集目标信息,测试要求发现中高危漏洞、有实际漏洞危害、输出漏洞汇总、禁止社会工程学渗透等,测试期限较短。 0x02 任务过程 信息收集我就不赘述了,大家都有自己的经验和套路,大概搜索一下资产,条数 1000+ ,独立 ip 个数 150+ ,导出后简单过滤重复数据进行渗透测试。 粗略过滤一遍,发现除企业官网外,其他多为用户登录系统、数据登录系统、签约系统等后台,筛选出 276 个。 多数人拿到后台登录系统的渗透测试思路大概分为以下四点,有其他思路的可以分享下。 (1)账户枚举/密码爆 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览