渗透测试

对哈尔滨某大学的一次检测

目标:http://www.xxx.edu.cn/ 一个大学有着很庞大的数据,以及十分明细的部门分工,并且主站一般都是做的很严谨,所以可以选择直接从分站入手,由于分站数量过多,安全自然也就显得乏力了。 翻出layer子域名挖掘机 轻松翻出一大堆的子域名 Awvs果然是神器,很快便报出一个红色高危漏洞 …继续阅读 »
渗透测试

记某次授权渗透

目标:www. masaike.com 目标使用程序:dedecms 版本:20120621 依稀记得2012这个版本爆出过 download.php文件的getshell漏洞,果断上手试试: 显示404,getshell失败,不知道是被拦截了还是漏洞补丁过。 继续在网上搜了下这个版本的织梦漏洞,发现了几个上传漏洞,但是需要注册账号。 注册…继续阅读 »