阿里云推出ESA免费套餐，提供一个月的基础体验，支持国内外节点。需备案域名，续费可设置为0元。与腾讯EdgeOne相比，界面复杂但选项丰富，适合中小站长使用。

最近参与攻防演练，发现某单位存在备案域名。通过fofa搜索子域名，发现一个子域名的61000端口开放了后台。通过访问/bin.rar路径获取站点源代码。使用dnspy反编译dll文件，发现UEditor路径和关键接口。通过Fuzz发现403是由waf或edr拦截引起的。使用/Utility/UEditor/.css?action=catchimage绕过拦截，成功访问关键接口。利用UEditor .net版本的任意文件上传漏洞上传哥斯拉jsp webshell。上传过程中被杀软拦截，使用ByPassGodzilla项目免杀处理webshell。成功打入内网。UEditor漏洞需要熟练掌握利用和绕过方法。