Pentest
大意失荆州
找到一个奇怪的js,映射去了一个minio,跟过去访问
上传准备好的木马,直接获取flag
Counter APT 1
爆破登录后台
把session什么的抓下来
疑似dump泄露
发现利用点
Counter APT 2
XFF绕过即可
使用URL编码绕过WAF
发现key
正文完
找到一个奇怪的js,映射去了一个minio,跟过去访问
上传准备好的木马,直接获取flag
爆破登录后台
把session什么的抓下来
疑似dump泄露
发现利用点
XFF绕过即可
使用URL编码绕过WAF
发现key