任意文件上传

五一假期,挖洞快乐!

今天是五一假期的第 4 天啦,昨天临时起意,出去玩了一天,今天下午刚刚回到学校。回到学校第一件事就是打开 fofa,看看今天的“幸运儿”是谁。 ...

2024.05.04 10:32:47 · 1 分钟 · yv1ing

记一次渗透百万人才招聘网站

74 CMS 人才系统存在命令执行漏洞,漏洞地址存在于 sendCompanyLogo 文件中 /controller/company/Index.php#sendCompanyLogo 的组件Company Logo Handler。经修改后的参数:imgBase64恶意代码输入可导致rce。 ...

2024.03.25 09:43:04 · 1 分钟 · yv1ing

记一次任意文件上传拿下某医院 OA 系统

OA 系统似乎一直都是渗透测试的“重点关照对象”,今天在翻看之前的 nDay 时,看到了“联达 OA 在 FileManage-UpLoadFile 处存在任意文件上传”,看了下没有特别复杂的复现条件,于是乎就打开 fofa,搜索了一番,最后找到了某医院的 OA 系统,成功上传一句话木马,获得服务器权限。 ...

2024.03.24 11:37:04 · 1 分钟 · yv1ing