渗透新浪分站

    #网络流氓[BHST]
    From:

    http://www.bhst.org/

    linux apache mysql 标准的搭建啊嘎嘎
    这是一个新浪的视频秀网站呵呵带娱乐性质也就是听漂亮妹妹唱歌的地方
    哈哈
    废话不多说啦开始吧

    Unnamed

    先用wvs扫下目录看看有木有可利用的东西

    Unname1d

    看啦下木卅可以利用的东西于是在网站里乱逛

    呵呵看见一个论坛那就直接进呗

    Unname2d

     

    Unnamed3

    呵呵看见有注册的地方不废话直接注册

    Unnamed5

    注册啦咱们就找上传嘎嘎

    Unnamed6

    看见啦这个页面唉 直接越过没可能性的东西呵呵
    咱们就换思路吧嘎嘎
    陷入困境啦嘎嘎上传木过啊在论坛里乱逛啦几分钟
    呵呵看见发贴于似乎点开试试咱小号也可以发贴那不发下试试哈哈

    Unnamed7
    看见个插图抱着咱们试试的心态插个图试试
    真神奇还可以本地上传的插图 我笑

    Unnamed8

    上传之后点击图片

    Unnamed9

    这个结果- -总觉得这里存在问题于是查看啦下源码如下

    Unnamed10

    有oday哟 呵呵咱们构造一个1.php.jpg的图片马上传试试

    Unnamed555

    成功上传一句话木马菜刀链接

    Unnamed11

    KO掉传大马

    Unnamed12

    权限很大
    直接提权
    提权不做详细说明啦………..反正咱root啦

    Unnamed13

    在这里感谢www.bhst.org 黑帽安全小组 坏虾大神的帮助嘎嘎 真心的TKS

    原创文章,转载请注明: 转载自Black-Hat Security Team

    本博客所有文章如无特别注明均为原创。
    复制或转载请以超链接形式注明转自乐橙呀,原文地址《渗透新浪分站
    标签:
    喜欢 | 0
    分享:

已经有1 条评论抢在你前面了~

  1. 沙发
    2013-07-3

    膜拜,鄙人小虾米苦逼大学生,学计算机的。对此一窍不通,求留QQ求收徒求指教,不胜感激。