权限设置的重要性,一个小站的渗透之旅

今天在百度吧里面逛看见一个比我还菜的菜鸟说他的菜刀无法连接,看了一下,一群人都在笑他,拿个图片就用菜刀连接,底下还有人说图片如果能菜刀那可以黑百度了,

我看了一下,既然他能进后台应该难度不大,乘机装一下B还是可以的,呵呵,怎么说咱也是土司的会员吧接下来就有了下面的渗透了

一看网站呵呵,南方数据,直接用Oday,

得到密码进后台上传一句话图片木马,直接奔备份数据库,呵呵,南方数据我可熟悉的很,一看备份数据库的地方,数据库不能修改,

晕,不怕,用火狐浏览器的元素审核,我强行改成我们的一句话图片,直接备份1.asa,备份成功,用菜刀连接,晕,不行,一看,数据库还是他自己的数据库,元素修改不行,不怕走第二条路不是还有编辑器吧,添加一个样式,

出现这个,草,不可写,只有走最后一条路写一句话到配置文件里面,一般我不愿意走这路,这路走错了就把网站搞挂,现在也是没有办法了,中间还截断改包也没有成功,其实新的南方数据好像是不能截断改包的,我是没有成功过,如果有那位表哥成功了告诉一下小弟,这里谢谢了,

写入一句话到配置这个时候也提示失败,不能修改,有写保护,总结了一下,估计是各个文件夹都有写保护,就图片文件夹没有写保护,可以上传图片,那数据库应该也可以修改,用编辑器的跨目录看了一下数据库文件夹,

发现我备份的数据库是在的,说明数据库文件夹是可以写的,那我可以在数据库里面写入数据库一句话马 ┼攠數畣整爠煥敵瑳∨≡┩愾 ,然后再备份不就ok了,找个添加新闻的地方写入数据库一句话,果然成功了,

终于拿到了shell,真是不容易,这会深深的感觉到现在渗透不容易,只要权限设置好了烂网站一样不容易拿下,可以到吧里去装逼去了,呵呵。谢谢各位大大坚持看完,本人小菜一枚请各位多多关照.

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181019B17C2S00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券