TA的每日心情 | 擦汗 2016-11-17 20:37 |
---|
签到天数: 1 天 [LV.1]初来乍到
|
初来乍到 求关爱
大家好 我是TOo。今天来给大家分享下我挖掘到的任意文件上传漏洞以及姿势
转载请注明(www.ihonker.org)
先来无事 和朋友挖洞 突然SSS交流群95放出了个网站:http://www.inxedu.com/
这里就不打码了 毕竟我喜欢无码的东西
点击注册http://wx.inxedu.com/ 进入管理页面
有个管理头像= = 难道存在神奇的上传漏洞? 点进去看看
懒得抓包了 先F11看看吧(这里跟大家说下 反正我在做渗透测试的时候 上传点都喜欢审查看下 有的时候有意外惊喜呢)
没错 你没看错
直接添加后戳 秒了jsp上去 完美getshell
你以为这就完了吗 NO!
百度了下 这个建站源码很多网站都在使用
分分钟挂了几个txt 放上去
http://www.zerocgn.com/images/upload/temp/20161117/1479384957893.txt
http://cgdream.cc/images/upload/temp/20161117/1479385064648.txt
http://www.atclass.cn//images/upload/temp/20161117/1479384761055.txt
当然还有更多 没时间getshell 这次教程就到这里
总结:
1. 在你日站的时候 审查元素其实很好用的
2. 当你发现了一个任意上传漏洞的时候 其实可以多留心下 看看是否影响更多站
3. 其实 整个IHONKER 我最帅!我最帅!我最帅!
还有 那个怎么上传不了 图片没法上传 我的WORD也没法上传 麻烦管理看下
|
|