Technology · 2013 年 2 月 11 日 1

渗透新浪分站

#网络流氓[BHST]
From:

http://www.bhst.org/

linux apache mysql 标准的搭建啊嘎嘎
这是一个新浪的视频秀网站呵呵带娱乐性质也就是听漂亮妹妹唱歌的地方
哈哈
废话不多说啦开始吧

Unnamed

先用wvs扫下目录看看有木有可利用的东西

Unname1d

看啦下木卅可以利用的东西于是在网站里乱逛

呵呵看见一个论坛那就直接进呗

Unname2d

 

Unnamed3

呵呵看见有注册的地方不废话直接注册

Unnamed5

注册啦咱们就找上传嘎嘎

Unnamed6

看见啦这个页面唉 直接越过没可能性的东西呵呵
咱们就换思路吧嘎嘎
陷入困境啦嘎嘎上传木过啊在论坛里乱逛啦几分钟
呵呵看见发贴于似乎点开试试咱小号也可以发贴那不发下试试哈哈

Unnamed7
看见个插图抱着咱们试试的心态插个图试试
真神奇还可以本地上传的插图 我笑

Unnamed8

上传之后点击图片

Unnamed9

这个结果- -总觉得这里存在问题于是查看啦下源码如下

Unnamed10

有oday哟 呵呵咱们构造一个1.php.jpg的图片马上传试试

Unnamed555

成功上传一句话木马菜刀链接

Unnamed11

KO掉传大马

Unnamed12

权限很大
直接提权
提权不做详细说明啦………..反正咱root啦

Unnamed13

在这里感谢www.bhst.org 黑帽安全小组 坏虾大神的帮助嘎嘎 真心的TKS

原创文章,转载请注明: 转载自Black-Hat Security Team