摘要:
前言 最近对云安全这块比较感兴趣,学了一波k8s的架构和操作,正好遇上了华为云的这一场比赛,收获颇多。 (甚至通过非预期拿下了平台题目集群的最高权限)。 0x00 题目入口发现 拿到题目发现是一个类似于提供IaaS服务的站点,扫描了一波目录,发现几个文件以及路由: 挺奇怪的是,在一个存在phpinf 阅读全文
摘要:
首先在奇安信hunter上搜索找到该SRC的有关资产(具体我就不放了),然后通过微步来搜索子域名找到今天的测试站点。 然后利用xray中检测到该站点存在Shiro反序列化漏洞 于是考虑直接用feihong的反序列话工具,但是这次feihong的反序列化工具只检测出key,gatget没有检测出来,咨 阅读全文
摘要:
0x01 前言 某日闲来无事,上fofa搜了xx系统,想着碰碰运气,类似这样 0x02 测试过程 随便挑了一个站点打开 Em…,试试运气,反手admin admin就进去了,是一个管理系统 然后根据网站的功能点,随便点击几个,发现除了常规的操作也没啥了,翻了一会,发现有一个文件下载操作 好家伙,藏得 阅读全文