入口1
前期的信息搜集的话不介绍了,靶标单位的公众号以及小程序等的接口基本上都测试过了,确实没发现问题,如果说真的有洞的话只能说我们比较菜,确实没找到突破口,但是再子域名解析下ip地址的c段找到了一个.net语言开发的网站,功能比较简单,甚至没有后台(在控制之后发现是站库分离,后端在内网的另外一台机子上)。看到的第一点都感觉有注入,简单手工注入测试就找到了注入点。(下面的图
前期的信息搜集的话不介绍了,靶标单位的公众号以及小程序等的接口基本上都测试过了,确实没发现问题,如果说真的有洞的话只能说我们比较菜,确实没找到突破口,但是再子域名解析下ip地址的c段找到了一个.net语言开发的网站,功能比较简单,甚至没有后台(在控制之后发现是站库分离,后端在内网的另外一台机子上)。看到的第一点都感觉有注入,简单手工注入测试就找到了注入点。(下面的图
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑