记录某网站后台GETSHELL
目录
0x00:探测后台
0x01:尝试上传图片马
0x02:利用在线网站收集信息
0x03:挖掘后台注入点
0x04:利用sqlmap写一句话
0x00:探测后台
首先直接就是后台,账号密码是自动填充的,直接登陆即可
登陆后呢就是这个破样子,话不多说开工
先把各个板块的功能啥的都看了一下,发现了几个可以上传的地方,同时对端口何目录进行了一波扫描,还有微步扫了一下网站的中间件等信息(这里就是先一波信息收集,为后面做准备)
在签到处,并没有发现上传点,但是可以打xss,但没什么卵用(我都进后台了还打个锤子xss)
0x01:尝试上传图片马
在这个签到报表处,可以看到有下载选项,可一抓包测试下是否存在任意文件下载,但这里对我getshell没啥用就先搁置了
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| 奖励系统 | 100.00 | 0 | 2020-12-14 09:09:50 | 投稿满 10 赞奖励 |
| 奖励系统 | 50.00 | 0 | 2020-12-01 17:05:07 | 投稿满 5 赞奖励 |
| 李的姓名 | 1.00 | 0 | 2020-11-30 13:01:12 | 跟随 涨姿势 |
| veek | 60.00 | 0 | 2020-11-30 09:09:25 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
806366862
发表于 2020-12-4
123
评论列表
加载数据中...
zzy0305
发表于 2020-12-8
上传哪里可以使用CGI解析漏洞吗
评论列表
加载数据中...
kidll
发表于 2020-12-14
白总牛逼,yyds
评论列表
加载数据中...