https://blog.qife122.com/tags/%E6%9C%BA%E5%99%A8%E5%AF%86%E9%92%A5/ Recent content in 机器密钥 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Sep 2025 00:58:29 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8-sharepoint-%E6%BC%8F%E6%B4%9E%E7%AA%83%E5%8F%96-iis-%E6%9C%BA%E5%99%A8%E5%AF%86%E9%92%A5%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ Sat, 13 Sep 2025 00:58:29 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8-sharepoint-%E6%BC%8F%E6%B4%9E%E7%AA%83%E5%8F%96-iis-%E6%9C%BA%E5%99%A8%E5%AF%86%E9%92%A5%E5%AE%9E%E7%8E%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ <h1 id="窃取机器密钥以获取乐趣与收益或乘-sharepoint-浪潮">窃取机器密钥以获取乐趣与收益（或乘 SharePoint 浪潮）</h1> <p><strong>发布：2025-08-05 | 最后更新：2025-08-05 08:37:39 UTC</strong><br> 作者：Bojan Zdrnja（版本：1）</p> <hr> <p>大约 10 天前，Microsoft SharePoint（CVE-2025-53770、CVE-2025-53771）的漏洞利用开始被公开滥用——我们在此处和此处写过相关文章。<br> 原始的 SharePoint 漏洞是一个反序列化漏洞，允许攻击者执行任意命令——虽然这些命令可以是任何内容，但我们分析的大多数漏洞利用导致攻击者投放一个 ASPX 文件，该文件仅向他们显示 IIS 机器密钥。这促使我深入研究如何滥用此漏洞。</p>