实战文件上传之大意失荆州

作者：NS Demon团队，投稿。

起因：夜黑风高的晚上内卷中，某大佬发了一张图过来。

 

1. 大佬来吊我：

2. 通过一番交流，他将phpinfo给了我：

接着看了一下问题：

 

Disable_functions函数：

3. 看丑恶的嘴脸：

4. 又沟通了一下，上传点是Logo处：

5. 分析原因：可能是被拦截执行、或者是参数定义失败、又或者是马有问题，采用思路：上传一个无毒无害的php文件，里面就简单的测试能否成功，然后再传简单的执行打印的php文件，看看是否执行，再传一个冰蝎二进制动态加密+简单免杀，看能否用。

 

6. getshell成功，而且暂时未触发警报，了解到服务器对面有运维人员在看。

 

7. 得绕disable_function函数执行命令，技术有限，只会用插件。

 

开玩笑勒索一下：

8. 然后文件上传处，尝试直接传最原始一句话php，连接

点到为止，好像是没域，而且是大佬的朋友的朋友的站。

9. 不讲武德！大意失荆州！

 

沟通过后，总结一下：二进制动态加免杀估计是暂时没触发警报，后面的直接简单一句话木马蚁剑连接后，对方公司估计是接到了警报，运维人员立刻改密码，删木马，导致了网站和马都连不上去。

丑恶的嘴脸：

推荐阅读

如果有用，师傅们点个在看、赞

原文始发于微信公众号（乌雲安全）：实战文件上传之大意失荆州