TOo。 发表于 2016-11-17 20:58:18

一次毫无亮点的渗透

初来乍到 求关爱
大家好 我是TOo。今天来给大家分享下我挖掘到的任意文件上传漏洞以及姿势
                                                                  转载请注明(www.ihonker.org)
先来无事 和朋友挖洞 突然SSS交流群95放出了个网站:http://www.inxedu.com/
这里就不打码了 毕竟我喜欢无码的东西
点击注册http://wx.inxedu.com/ 进入管理页面

有个管理头像= = 难道存在神奇的上传漏洞? 点进去看看

懒得抓包了 先F11看看吧(这里跟大家说下 反正我在做渗透测试的时候 上传点都喜欢审查看下 有的时候有意外惊喜呢)

没错 你没看错
直接添加后戳 秒了jsp上去 完美getshell
你以为这就完了吗 NO!
百度了下 这个建站源码很多网站都在使用
分分钟挂了几个txt 放上去


http://www.zerocgn.com/images/upload/temp/20161117/1479384957893.txt
http://cgdream.cc/images/upload/temp/20161117/1479385064648.txt
http://www.atclass.cn//images/upload/temp/20161117/1479384761055.txt
当然还有更多 没时间getshell 这次教程就到这里

总结:
1.        在你日站的时候 审查元素其实很好用的
2.        当你发现了一个任意上传漏洞的时候 其实可以多留心下 看看是否影响更多站
3.        其实 整个IHONKER 我最帅!我最帅!我最帅!
还有 那个怎么上传不了 图片没法上传 我的WORD也没法上传 麻烦管理看下

小圈圈 发表于 2016-11-17 22:42:43

你是在逗我?https://www.ihonker.org//mobcent//app/data/phiz/default/38.png

w2015 发表于 2016-11-17 23:29:01

大兄弟,这就有点尴尬了吧!:L

linghun 发表于 2016-11-18 00:04:57

兄弟,你这是传说中的意念渗透吧?我怎么也在sss看到了?

浮尘 发表于 2016-11-18 07:46:51

:L好无语

90_ 发表于 2016-11-18 09:18:57

RE: 一次毫无亮点的渗透

实验证明,图片是可以正常上传的。

wuyan 发表于 2016-11-18 15:41:43

可以上传啊,大兄弟

十页书 发表于 2016-11-23 18:32:04

我去试了一下,都快笑出声了。真的可以啊,哈哈哈。好好玩

enew 发表于 2016-12-6 14:28:39

你可真逗

xema 发表于 2016-12-17 09:22:44

RE: 一次毫无亮点的渗透

艺术在于实验,实验表明可以上传……你去附件那里面上传……我猜你是点图片那个按钮
页: [1]
查看完整版本: 一次毫无亮点的渗透