几年没有动过Web方面的渗透测试,已经角落吃灰了,也怕吃土!
事件起因: 微信好友群里掀起一股投票流热潮,恳请群众帮之投票,这么可爱善良机智的我也帮忙点了。但是不要脸的时候到了,居然提示我充值会员票,一票等于普通投票5倍,这种不就偏离了投票公正的原则,怼之!
初探页面浓浓的乡村非主流布局,让我这个Web开发者流了口水。但经验告诉我,这逼是udit编辑器的作风。那么由此联想,可能是cms程序搭建的(后面证实非也非也)。 复制链接,甩入浏览器,果然提示请在微信客户端打开页面,修改善良可爱的URL君参数,随意更改,目的就是报错,来判断是个什么程序。 再丢入微信,打开。(不甩入微信会提示在微信中打开)。 biu~
Thinkphp 应用异常丢出。 捕获TP框架一枚(自己也在用) TP5.0.1版本
最近tp5通杀代码执行闹得很厉害,两种修复方式,自己改核心代码修复或更新TP5.0.2 但页面都这么非主流还会花时间改核心?
祭出oday:
https://xz.aliyun.com/t/3570
参阅
果然爆出phpinfo信息,证实存在。
写入getshell问题:
该站在linux机器上,但oday的getshell分两个版本:5.1和5.0
5.0 oday只在windows上写入,linux会字符问题写入失败。 那么怎么可能放弃呢。 既然能执行shell命令,wget了解一下???
本地搭建,映射甩马,wget下到www目录,跑起来~
完结。不太详细,自行脑补,作者懒
