记一次对众测项目的弱口令到xss到getshell

  • A+
所属分类:安全文章

事发突然 来不及解释了快上车
人生第一次众测getshell居然车毁人亡
我写个过程给大家看看吧
1某人受不了这个苦
http://www.xxxxxx.edu.sh.cn

image.png
大概网站就是怎么一个样子.
总感觉被忽略了一些什么
我就换了一个浏览器打开

image.png
果不其然看到了后台管理

image.png
三下五除二的以为有sql注入什么的.

image.png
那没事惹

image.png
在随意打开一篇文章后发现有ID
随手试了试123456
因为之前挖了上面他们一个教师的通用就是123456
我觉得有可能也是.
百害无一试

image.png

image.png

image.png
发布文章这 有个xss

image.png
随手又看到一个上传

image.png

image.png
随手抓了个包
随手穿了个马

image.png
随手看了下路径
随手菜刀链接之

image.png

相关推荐: 实战 | 一次简单的信息收集到getshell的过程

前言申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!本篇文章是4月份活动的投稿文章来自M78团队的伊电童姐姐以下是M78团队的公众号Part.1 漏洞挖掘一次简单的黑盒联动大佬勿喷 大佬勿喷 大佬勿喷又是日常挖EDU发现医学系统 是这样…