权限设置的重要性，一个小站的渗透之旅

今天在百度吧里面逛看见一个比我还菜的菜鸟说他的菜刀无法连接，看了一下，一群人都在笑他，拿个图片就用菜刀连接，底下还有人说图片如果能菜刀那可以黑百度了，

我看了一下，既然他能进后台应该难度不大，乘机装一下B还是可以的，呵呵，怎么说咱也是土司的会员吧接下来就有了下面的渗透了

一看网站呵呵，南方数据，直接用Oday，

得到密码进后台上传一句话图片木马，直接奔备份数据库，呵呵，南方数据我可熟悉的很，一看备份数据库的地方，数据库不能修改，

晕，不怕，用火狐浏览器的元素审核，我强行改成我们的一句话图片，直接备份1.asa，备份成功，用菜刀连接，晕，不行，一看，数据库还是他自己的数据库，元素修改不行，不怕走第二条路不是还有编辑器吧，添加一个样式，

出现这个，草，不可写，只有走最后一条路写一句话到配置文件里面，一般我不愿意走这路，这路走错了就把网站搞挂，现在也是没有办法了，中间还截断改包也没有成功，其实新的南方数据好像是不能截断改包的，我是没有成功过，如果有那位表哥成功了告诉一下小弟，这里谢谢了，

写入一句话到配置这个时候也提示失败，不能修改，有写保护，总结了一下，估计是各个文件夹都有写保护，就图片文件夹没有写保护，可以上传图片，那数据库应该也可以修改，用编辑器的跨目录看了一下数据库文件夹，

发现我备份的数据库是在的，说明数据库文件夹是可以写的，那我可以在数据库里面写入数据库一句话马 ┼攠數畣整爠煥敵瑳∨≡┩愾 ，然后再备份不就ok了，找个添加新闻的地方写入数据库一句话，果然成功了，

终于拿到了shell，真是不容易，这会深深的感觉到现在渗透不容易，只要权限设置好了烂网站一样不容易拿下，可以到吧里去装逼去了，呵呵。谢谢各位大大坚持看完，本人小菜一枚请各位多多关照.