专栏名称: 骨哥说事
关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。
今天看啥  ›  专栏  ›  骨哥说事

【赏金15000美元】通过监控调试模式实现 RCE

骨哥说事  · 公众号  ·  · 2024-09-14 16:40

文章预览

声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名: https://gugesay.com 不想错过任何消息?设置星标 ↓ ↓ ↓ 预祝各位中秋快乐,身体健康! 背景介绍 你是否遇到过明知一个端点可能很容易受到攻击,但你又不太了解后端究竟发生了什么以及该如何利用它们? 那么在本文中,将指导你完成一种将黑盒测试转变为半白盒测试的技术。这种方法发现了多个漏洞,并最终实现了系统上的RCE(远程代码执行)。 发现端点 在读取其中一个 JS 文件时,白帽小哥发现了一个名为 ExtraServices 的端点。 那么果断打开 Burp 并将请求发送至Repeater中,端点返回了 404 代码,但却与主机始终返回的 404 代码略有不同,因此猜测这可能 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览