攻击者可通过漏洞强行进入攻击目标的Active Directory
2020年9月2日 - 网易
1.登录的管理员可以将智能卡配置上传到/LogonCustomization.do?form=smartCard&operation=Add;。2.这会使用服务器端生成的秘密握手触发对/RestAPI/WC/SmartCard?HANDSHAKE_KEY=secret上服务器经过身份验证的RestAPI的后端请求;3.在执行请求的操作之前,请针对/servlet/HSKeyAuthenticator?PRODUCT_NAME=ManageEngine+ADSel...
详情