记一次湾湾网站的肾透

文章预览

文章作者：9bie 文章来源： https://9bie.org/index.php/archives/982/ 正文 很久以前的案例，由于太过丢人，一直不怎么敢提，有些资源当时也没截完全，就顺手看看吧闲着无聊，开日！ 目标是谁好呢？随便找一个吧。 * 电？很 NB，就他了！ 外网搜一堆资产，不是自研，就是一些功能简单的前端 Nodejs，一眼能打的资产很少。 怎么办呢？这时候我们发现了一个 很好的目标 系统名称 eip­plus，一看就是个类似 OA 系统一样的东西，功能一定很多。同时 一搜公网资产 很好，很有精神！同代码的站点，非常非常的多，就从他作为突破口！ 总而言之，先搞到一套源码先。之后就是开始平淡无奇的供应链环节，辣么多站，总不至于一个都打不下来吧 平淡无奇供应商找个注入 平淡无奇 get­shell 平淡无奇发现目标 平淡无奇打死 怎么打死的呢？利用内网数据正好撞到 sysad ………………………………