事件起因
事件起因
2024年11月3日,知名打假网红"松哥打虎"和"赏金猎人灰烬"联手揭露良品铺子多款产品涉嫌配料表造假,引发社会广泛关注。打假博主公布的视频还显示,团队人员遭保安锁脖、抢夺拍摄设备。
2024年11月4日,良品铺子官方发布公告表示,经初步排查,相关产品在我司及生产商本年度的多批次送检中各项指标均合格。11月4日, 武汉市场监管部门回应,已立案调查。
信息收集
信息收集
由于我不能透露很多内容,只有发表一些阉割版和一些思路,望理解,如果不喜欢,请直接拉黑我,谢谢配合,我赵小龙性格差,脾气爆,乱回会骂人。
1、我们可以看到良品铺子的官网地址域名是517lppz.com
如果你按照这个去fofa搜索肯定是不行的,正确的应该是lppz.com
FOFA
FOFA
domain="lppz.com"如果你觉得太少,直接用oneforall,其他花里胡哨的工具没什么球用
漏洞寻找
漏洞寻找
1、我们看到对方资产有ZABBIX-监控系统,但不要高兴的太早,访问一下
明显不能访问。
2、挨个点,发现一些资产
flux tms数字管理平台门店生命周期在弱口令,常见CVE都试过之后,一筹莫展的时候,突然发现了一个后台管理系统的一个文件上传漏洞
通过蚁剑访问,发现ITSM大量信息
信息整理
信息整理
1、深信服VPN暴露并存在CVE漏洞
2、亿赛通加密
3、良品总部WIFI密码泄露
4、后台系统入侵
这么打下去,基本全穿了
获取到了域控账号密码和IP地址,堡垒机也有漏洞,一大堆问题,他真的以为不暴露公网就进不去了吗?公众号上只能点到为止了,不要触犯法律
免责声明
文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
我们红岸基地网安教学,只有两个老师、一个是赵小龙老师、一个是陈师傅。可以联系微信:Rrr0ya1_nuaa,只要你提供目前的现状与学历,陈老师可以免费帮大家做职业规划。
Rrr0ya1_nuaa
扫码添加,提升自己!
👇👇👇
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...