Sooooooooooooooooooo,Skr!~

凡是过往,皆为序章。

Author:远海@米斯特安全一.信息收集(1)已知功能目标主页只提供了两个功能用户登录忘记密码(2)指纹信息看了下,网站由.net开发,使用的webforms。但是这里显示了Web服务器是Nginx,手动探测。得知该系统由Nginx反向代理出来的。且映射路径为/WebSite/。(3)厂商信息在主页下方发现了该系统的客服专线,使用fofa搜索指定内容,查找同类系统根据相关信息,搜索出来了8...

发布 3 条评论

漏洞点:/servlet/FileReceiveServlet根据web.xml 向导,查看对应servlet的映射。/service/ 和 /servlet/ 都对应nc.bs.framework.server.InvokerServlet 类其类在/yonyouhomelibfwserver.jar 包内其servlet的doGet和doPost方法都指向doAction方法这里直接看d...

发布 1 条评论

记一次某HW中的渗透测试Author:远海@米斯特安全前段时间,某“带佬” 急匆匆的发我两个站点,为某地区hw的靶标。既然是“带佬”,那么肯定得给这位“带佬”面子。简单看了看两个站点,都是ASPX站点。对于.NET所开发的站点,在下可以说是经验老道(自吹一波,实则菜b)。这里只描述其中一个站点的渗透过程。另一个站点已经被"带佬"发布至先知社区。地址: https://xz.aliyun.co...

发布 2 条评论

再次声明:文章为本人所写,他人代发。现已断绝合作关系。使用关键词得到目标源码某日上午接到临时安排对某公司进行渗透测试,此次渗透给的是一个主域名,并且也没有子域,打开了目标网站先对其进行一波信息收集中间件: IIS 8.5输入admin发现自动添加了/说明其目录存在,那么盲猜一波文件,login.aspx default.aspx main.aspx 等等最终在login.aspx下面发现后台...

发布 7 条评论

代码混淆代码混淆(Obfuscated code)亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。代码混淆可以用于程序源代码,也可以用于程序编译而成的中间代码。执行代码混淆的程序被称作代码混淆器。目前已经存在许多种功能各异的代码混淆器。如: PHP中常见的混淆方案在.NET中也存在多种混淆方案较为常见的应该是.NET Reactor0x01C#中常见的...

发布 评论