[渗透测试]微信朋友圈投票引发的血案

几年没有动过Web方面的渗透测试,已经角落吃灰了,也怕吃土!

事件起因: 微信好友群里掀起一股投票流热潮,恳请群众帮之投票,这么可爱善良机智的我也帮忙点了。但是不要脸的时候到了,居然提示我充值会员票,一票等于普通投票5倍,这种不就偏离了投票公正的原则,怼之!

初探页面浓浓的乡村非主流布局,让我这个Web开发者流了口水。但经验告诉我,这逼是udit编辑器的作风。那么由此联想,可能是cms程序搭建的(后面证实非也非也)。 复制链接,甩入浏览器,果然提示请在微信客户端打开页面,修改善良可爱的URL君参数,随意更改,目的就是报错,来判断是个什么程序。 再丢入微信,打开。(不甩入微信会提示在微信中打开)。  biu~

Thinkphp 应用异常丢出。  捕获TP框架一枚(自己也在用) TP5.0.1版本

最近tp5通杀代码执行闹得很厉害,两种修复方式,自己改核心代码修复或更新TP5.0.2 但页面都这么非主流还会花时间改核心?

祭出oday:

https://xz.aliyun.com/t/3570

参阅


果然爆出phpinfo信息,证实存在。

写入getshell问题:

该站在linux机器上,但oday的getshell分两个版本:5.1和5.0

5.0 oday只在windows上写入,linux会字符问题写入失败。 那么怎么可能放弃呢。 既然能执行shell命令,wget了解一下???

本地搭建,映射甩马,wget下到www目录,跑起来~

完结。不太详细,自行脑补,作者懒

你可能感兴趣的:([渗透测试]微信朋友圈投票引发的血案)