[渗透测试]微信朋友圈投票引发的血案

几年没有动过Web方面的渗透测试，已经角落吃灰了，也怕吃土！

事件起因： 微信好友群里掀起一股投票流热潮，恳请群众帮之投票，这么可爱善良机智的我也帮忙点了。但是不要脸的时候到了，居然提示我充值会员票，一票等于普通投票5倍，这种不就偏离了投票公正的原则，怼之！

初探页面浓浓的乡村非主流布局，让我这个Web开发者流了口水。但经验告诉我，这逼是udit编辑器的作风。那么由此联想，可能是cms程序搭建的（后面证实非也非也）。 复制链接，甩入浏览器，果然提示请在微信客户端打开页面，修改善良可爱的URL君参数，随意更改，目的就是报错，来判断是个什么程序。 再丢入微信，打开。（不甩入微信会提示在微信中打开）。  biu~

Thinkphp 应用异常丢出。  捕获TP框架一枚（自己也在用） TP5.0.1版本

最近tp5通杀代码执行闹得很厉害，两种修复方式，自己改核心代码修复或更新TP5.0.2 但页面都这么非主流还会花时间改核心？

祭出oday：

https://xz.aliyun.com/t/3570

参阅

果然爆出phpinfo信息，证实存在。

写入getshell问题：

该站在linux机器上，但oday的getshell分两个版本：5.1和5.0

5.0 oday只在windows上写入，linux会字符问题写入失败。 那么怎么可能放弃呢。 既然能执行shell命令，wget了解一下？？？

本地搭建，映射甩马，wget下到www目录，跑起来~

完结。不太详细，自行脑补，作者懒