记一次攻防演练利用微信公众号文件上传获取shell

之前一次攻防演练，我看着一堆资产但是一个目标都不知道该咋打找不到什么能打的东西。然后我就试着找找公众号说不定公众号里面会有什么东西试试。

然后发现目标公众号有个报故障的地方，可以上传文件。

然后我当时上传了很多次发现都没法进行解析（我当时检测到这是thinkphp）后来上传一张图片后再将其下载下来对两个文件进行对比发现这是二次渲染（由于时间比较久远，找不到截图了）。

这里怕有读者不了解二次渲染是什么我简单描述一下，（如果觉得需要我详细写一下文件上传中的一些东西的话我可以后续专门写一篇文章说一下）

就是将上传后的文件保存下来用010或者其他的16进制编辑器查看，然后将上传前的文件放进16进制编辑器，然后找到文件比较，查看两个文件相似和不相似的地方，在相似的地方输入一句话木马，上传成功。

这里面的一堆php文件全是我传的

读取文件内容发现这是一个云服务器。

然后读取到数据库的连接密码。

最后，提交报告，继续搞别的站了。

往期文章推荐

记一次攻防演练从弱口令到getshell

CTF线下赛AWDP总结

第十届山东省大学生网络安全技能大赛 Wirteup

dll劫持（二）

浅析CobaltStrike流量解密

关注我，让我们一起学习网络安全。

原文始发于微信公众号（FTC安全）：记一次攻防演练利用微信公众号文件上传获取shell