声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系刘一手 请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究

目标

http://www.xxx.com

看到输入框就想打一下xss

反射型的xss

我现在有个好玩的想法，就是找下有没有联系qq，然后把弹窗换成笑话这个卖挂站长的

看到联系方式，点击会跳转到添加qq的地方

但是我没下qq，就没跳转到添加，f12查看下跳转的链接

现在知道的信息：站长的联系qq和他的账号id可能带小黑，用dirsearch扫下目录看看

发现到有个后台地址，进入后台登陆看看

万能admin试试看

无果，输入小黑试试看

提示密码错误，那就是帐号没错了，上字典爆破

出现一个302跳转暂时性转移，账号小黑，密码22xxxxxx

成功进来挂哥的站点

发现是emlogcms，好像在上传模板能拿下，试试看

添加模块

这是准备好的源码，写个一句话进去，也可以把文件里的内容替换成一句话木马，我把404里的内容替换木马

下一步的操作就是上传模板了

上传模板后，使用蚁剑进行连接

这里连接失败因为要忽略https证书

ok了，挂哥不止一个站，还有卡盟

执行命令有disable_function拦了，那就试试看能不能绕过disable_function执行命令，蚁剑有绕过disable_function插件

填写FCGI和php路径 最后一个是填写webshell的目录，点击开始就在webshell的目录生成一个.antproxy.php

连接的密码和webshell的密码一样

成功连接木马，现在弹到我们的服务器上

服务器监听

nc -lvvp 监听端口

在受害机上连接服务器

成功接收！

推荐阅读

干货 | 渗透知识库（鹏组安全）

实战 | 记一次渗透测试(绕过某塔)

免杀 | mimikatz.exe bypass360全家桶

原文始发于微信公众号（鹏组安全）：记一次对某外挂辅助网站的getshell