找回密码
 立即注册

QQ登录

只需一步,快速开始

前几天看到一个领养孤儿的网站(我是真TM丧心病狂),挖到一个post注入漏洞。然后注入出了后台密码。登陆进去。改包传了个小马蚁剑连接不了,我就换大马了:
20200401;09;49;28;5736.png
然后发现他读取权限挺大的还能看到旁站的配置文件
20200401;09;50;16;2708.png
20200401;09;51;18;4795.png
于是我就去查了他的旁站
于是
发现了一堆gov!!
我tm吓坏了感觉去看了下他们后台地址
20200401;09;56;19;8122.png
还真的找到了!!!
看看配置文件
20200401;09;57;49;4660.png
找到数据库地址!
登陆数据库!!!
20200401;09;59;10;7479.png
找到后台账号密码密码
20200401;10;00;35;2755.png
发现都不能解密,那~我们就加一个用户!
20200401;10;02;29;3702.png
去登陆成功!!!
20200401;10;03;30;1325.png
改下类型传个马!
20200401;10;04;43;3311.png
提权我试过失败了,还是技术不到家吧~
当然漏洞我直接一个电话打过去告诉了他们,马上就修复了!
当然这是给个思路给你们,当一个网站我们渗透不进的时候不妨去看看旁站,有些安全性低的旁站渗透进去再提权,甚至有些还不要提权就可以查看旁站配置!!!
附上豆子给我的大马: sievr.rar (85.2 KB, 下载次数: 7, 售价: 10 K币)
分享至 : QQ空间
收藏

8 个回复

倒序浏览
@sievr
回复 使用道具 举报
回复 使用道具 举报
回复 使用道具 举报
牛啊
回复 使用道具 举报
感谢分享这是人才
回复 使用道具 举报
root2020 小白 2020-4-13 17:00:12
7#
回复 使用道具 举报
root2020 小白 2020-4-13 17:07:15
8#
回复 使用道具 举报
Tars-Chiu 小白 2020-4-26 23:11:37
9#
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册