当前位置: 首页 > news >正文

记一次服务器配置文件获取OSS

news 2025/8/8 11:16:28

一、漏洞原因

  • 由于网站登录口未做双因子校验,导致可以通过暴力破解获取管理员账号,成功进入系统;
  • 未对上传的格式和内容进行校验,可以任意文件上传获取服务器权限;
  • 由于服务器上配置信息,可以进一步获取数据库权限OSS管理权限

二、漏洞成果

  • 弱口令获取网站的管理员权限
  • 通过文件上传获取,服务器的shell
  • 获取服务器shell,配置文件中泄露数据库password
  • 获取服务器shell,配置文件中泄露OSS_ACCESS_KEY

三、漏洞利用

1、网站管理员权限

通过资产搜集,发现后台管理地址,通过暴力破解,获得口令信息,进入系统
在这里插入图片描述

2、服务器权限

通过添加,发现使用tinymce编辑器,由于未做限制,可以文件上传,获取服务器权限

http://www.lryc.cn/news/234331.html

相关文章:

  • 合众汽车选用风河Wind River Linux系统
  • PTA平台-2023年软件设计综合实践_5(指针及引用)
  • 智慧卫生间
  • Cadence virtuoso drc lvs pex 无法输入
  • 反序列化漏洞(2), 分析调用链, 编写POC
  • Pytorch reshape用法
  • Latex 辅助写作工具
  • frp新版本frp_0.52.3设置
  • 100G.的DDoS高防够用吗?
  • 【django+vue】项目搭建、解决跨域访问
  • 【数据库】数据库连接池导致系统吞吐量上不去-复盘
  • 华纳云:租用的服务器连接超时怎么办?
  • 基于MS16F3211芯片的触摸控制灯的状态变化和亮度控制(11.17,PWM)
  • 编译buildroot出错,这个怎么解决呢,感谢
  • 【0基础学Java第十课】-- 认识String类
  • lxml基本使用
  • 【数据结构初阶】链表OJ
  • 【Vue渲染】 条件渲染 | v-if | v-show | 列表渲染 | v-for
  • 开源网安解决方案荣获四川数实融合创新实践优秀案例
  • debian/ubuntu/linux如何快速安装vscode
  • Python3语法总结-数据转换②
  • 【火炬之光-魔灵装备】
  • javascript选择器的封装,只需要写元素名或css类及id都可以选择到元素
  • 机器学习第7天:逻辑回归
  • 努力奋斗,遇上对的人
  • 基于单片机音乐弹奏播放DS1302万年历显示及源程序
  • ceph学习笔记
  • SQLSERVER 遍历循环的两种方式很详细有源码(2)
  • flutter背景图片设置
  • 【运维 监控】Grafana + Prometheus,监控Linux