检测博彩网站

逛网站看到一个双色球网站。

《检测博彩网站》

感觉不是什么好东西的样子,于是草之。

随手一扫,满地注入。

获得账号密码 liming  123456

《检测博彩网站》

登陆之

随手点入一个广告发布功能

发现有上传点并且泄露物理地址

《检测博彩网站》

上传jpg文件burp之,发现失败,于是换路。

陷入困境

扫描器扫描之,发现敏感信息

《检测博彩网站》

亮点在于FTP password is NULL 空口令

于是,用ie资源管理器登陆之,上传webshell,菜刀连接

《检测博彩网站》

然后尝试提权,运行cmd,输入命令获得一系列信息

《检测博彩网站》

2003 sp2的机子,感觉会有很多洞的样子。尝试上传一个pr

《检测博彩网站》

然后cd到目录尝试执行

《检测博彩网站》

果然顺利得到system

然后提权

《检测博彩网站》

登陆之

《检测博彩网站》

于是心碎一地,想了想,应该如果用admin的账号登陆似乎可以登录

于是上传pw7抓密码

《检测博彩网站》

破出来

《检测博彩网站》

 

yes!

《检测博彩网站》

本来想格盘。。想了想。。这太恶毒了。。于是擦屁股走人

点赞