专栏名称: 菜鸟学信安
每天60分钟,零基础入门信息安全。分享从入门,进阶技巧,大牛经验等技术文章,以及网络安全工具资源、精选课程、视频教程及学习资料。
今天看啥  ›  专栏  ›  菜鸟学信安

记一次市级攻防演练中渗透的某个站点

菜鸟学信安  · 公众号  ·  · 2024-10-15 08:00
    

文章预览

文章作者: ETos -先知社区 文章来源: https://xz.aliyun.com/t/15494 一、信息收集到敏感信息泄露 拿到靶标之后第一件事首先是信息收集,找到该站点的一个登录页面 首先是进行常规的sql注入,弱口令,没有任何收获之后开始F12查看js代码 从源码里面发现大量接口泄露 接着用jsfinder提取出来 找到挺多的找到大约有1000个接口地址 然后直接bp遍历接口遍历到某个接口的时候明显卡了一下,长度也不对劲,点开发现有大量敏感信息泄露 (原谅我码的有点重,因为泄露的信息太多太详细了) 二、文件上传到getshell 接着遍历接口的时候看到有一个upload 直接发包回显500 响应包返回500的意思是,“内部服务器错误”当服务器在处理请求时遇到问题但无法具体说明问题所在时,会返回这个状态码。这意味着服务器遇到了意外情况,无法完成请求 我这里的原因是因为 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览