2023年10月22日
从漏洞挖掘到拿下服务器权限
摘要: 项目拓扑 SQLServer写马、无回显命令执行、远程文件包含、360,火绒免杀、反向代理上线、权限提升等。 外网打点 SQLServer写马getshell 直接访问域名,发现如下页面;直接是一个SQL注入,并且参数是user_id 这里没什么好说的,数字型SQL注入,并且对%23、#进行限制,使 阅读全文
posted @ 2023-10-22 10:28 Cx330Lm 阅读(50) 评论(0) 推荐(0) 编辑