记录某网站后台GETSHELL

冰封小天堂   ·   发表于 2020-11-27 21:43:17   ·   实战纪实

目录

0x00:探测后台

0x01:尝试上传图片马

0x02:利用在线网站收集信息

0x03:挖掘后台注入点

0x04:利用sqlmap写一句话

0x00:探测后台

首先直接就是后台,账号密码是自动填充的,直接登陆即可

登陆后呢就是这个破样子,话不多说开工

先把各个板块的功能啥的都看了一下,发现了几个可以上传的地方,同时对端口何目录进行了一波扫描,还有微步扫了一下网站的中间件等信息(这里就是先一波信息收集,为后面做准备)

在签到处,并没有发现上传点,但是可以打xss,但没什么卵用(我都进后台了还打个锤子xss)

0x01:尝试上传图片马

在这个签到报表处,可以看到有下载选项,可一抓包测试下是否存在任意文件下载,但这里对我getshell没啥用就先搁置了

用户名金币积分时间理由
奖励系统 100.00 0 2020-12-14 09:09:50 投稿满 10 赞奖励
奖励系统 50.00 0 2020-12-01 17:05:07 投稿满 5 赞奖励
李的姓名 1.00 0 2020-11-30 13:01:12 跟随 涨姿势
veek 60.00 0 2020-11-30 09:09:25 一个受益终生的帖子~~

打赏我,让我更有动力~

3 条回复   |  直到 2020-12-14 | 1384 次浏览

806366862
发表于 2020-12-4

123

评论列表

  • 加载数据中...

编写评论内容

zzy0305
发表于 2020-12-8

上传哪里可以使用CGI解析漏洞吗

评论列表

  • 加载数据中...

编写评论内容

kidll
发表于 2020-12-14

白总牛逼,yyds

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.