注册    登录
专栏名称: 阿呆攻防
本公众号致力于分享代码审计、js/app逆向、应急响应、免杀、病毒分析、红蓝攻防等知识,阿呆安全团队成员有阿呆(混子)、springkill(代码安全)、aoman(免杀二进制分析)、蟑螂哥(某省厂商红队队长)
我也要提交微信公众号
今天看啥
微信公众号rss订阅, 微信rss, 稳定的RSS源
目录
相关文章推荐
手艺门  ·  玩物,养志 ·  5 天前  
今天看啥  ›  专栏  ›  阿呆攻防

红蓝|浅谈某省护打点经历(思路+工具)

阿呆攻防  · 公众号  ·  · 2024-08-29 15:10

文章预览

  此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,此文章由 粉丝 投稿,热乎的省护,所有信息皆已脱敏,就看个思路, 所有行为与本公众号无关。 sdfd   01 单位1 通过鹰图搜索引擎找到靶标资产,发现该IP下存在 X蝶-X星空 的资产。 该系统的攻击路径有4条: X蝶-X星空 SaveUserPassport.common.kdsvc 反序列化命令执行漏洞 X蝶-X星空 GetServiceUri.common.kdsvc 反序列化命令执行漏洞 X蝶-X星空 CloseForm.common.kdsvc 反序列化命令执行漏洞 X蝶-X星空 GetImportOutData.common.kdsvc 反序列化命令执行漏洞 01 任意文件读取 通过FileProxyHandler.kdfile 任意文件读取漏洞读取配置文件信息:   02 突破边界   SaveUserPassport.common.kdsvc反序列化漏洞: GetServiceUri.common.kdsvc 反序列化命令执行漏洞: CloseForm.common.kdsvc 反序列化 命令执行漏洞: GetImportOutData.common.kdsv ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览
推荐文章
手艺门  ·  玩物,养志
5 天前
关于   移动版   ·   Py中国   ·   RSS之家   ·   CodingPro   ·   Code   ·   Link之家   ·   卧龙AI搜索   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号