文章预览
文章中涉及的漏洞均已修复,敏感信息均已做打码处理。文章仅做经验分享用途,测试过程均经业主授权实施,合法合规! 未授权的攻击属于非法行为! 前言 某医院正准备迎接即将到来的年度检查。作为准备的一部分,医院决定进行一次全面的网络安全演练,以测试其信息系统的安全性和应对能力。医院聘请了一支专业的网络安全团队—— “中科实数安服培训事业部 - 渗透测试小组”来进行这次模拟渗 透测 试 。 前期打点 在对某医院的资产进行信息收集过程中,发现了其管理平台系统,登录界面如下图(涉及到敏感信息已打厚码): 在登录界面,使用自备的万能字典展开爆破尝试。 经过一段时间的等待,成功获取了相应的用户名和密码。 随后,寻找到上传点并尝试是否可以直接获取shell权限。 幸运的是,图片马被成功上传并解析。 最终通
………………………………