万科集团某分站文件上传可shell拖库和内网渗透
天冷了,找个工作过冬啊,看着看着就看到万科这边来了,注册账户的时候发现好玩的了,请看王道~~~图片是后面重新截图的,顺序有点乱,能看明白就好 
出现问题的是这个分站http://job.vanke.com/Web/Login.aspx
本身是win2003的服务器,IIS6的配置,然后我发现一些畸形的用户名可以注册
然后在图片上传的地方,检测了文件的后缀并修改了文件名称,理论上来说这也算安全了的,问题出现在重命名的地儿,这个文件重命名是用户名+文件后缀。。。这个方式真的很奇葩。。。配合那个畸形的用户名,你懂得~
上传一句话,连接菜刀,发现这个服务器很多人来过了啊
最早竟然都有2011年的痕迹。。。
连接数据库看看,貌似数据不少的样子,这个是招聘分站,上面的都是个人真实资料,35W+啊,土豪公司吸引力就是大,其他数据库就不翻了,东西也很多
借助之前有人上传的cmd执行下命令看看,发现是内网的服务器,挺有意思啊,本来还想内网ooxx看看的,可怜窗外呼呼的冷风把我拉回了现实,继续觅食去。。。
>更多相关文章
- 03-25工业 4.0 正在推动企业光纤接入
- 03-25深入了解 5G 基础设施
- 03-25开展网络行为风险分析的五种手段
- 03-25美国国家安全局是如何入侵你的电脑的?
- 11-18攻击者利用SSL进行加密攻击和通信
- 11-18骗子利用Google Ads从假加密货币钱包中抽走数十万美金
- 11-18手把手教你如何实现一个简单的数据加解密算法
- 11-18安全事件响应计划的五个步骤
首页推荐
佛山市东联科技有限公司一直秉承“一切以用户价值为依归
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 04-29通用智能人“通通”亮相中关村论坛
- 04-29拼多多投入45亿补贴,助力上海“五五购物节
- 04-29通义千问再开源 推出最大尺寸1100亿参数模型
- 04-29【环球视线】比亚迪交付首列出海云轨
- 04-21中国产品数字护照体系加速建设
相关文章
24小时热门资讯
24小时回复排行
热门推荐
最新资讯
操作系统
黑客防御
粤公网安备 44060402001498号