0x01 前言
简单的描述一下,有天因为很无聊,又想日点非法的网站,于是我就到反诈骗贴吧去逛了一圈,看能不能找到一些诈骗网站来操作一下,简简单单的翻了一下,立马锁定一个目标站,因为它后台是弱口令,哈哈哈!然后就有了接下来的操作,请往下看,但是之前有的没有截图,现在域名也不能访问了,不重要,来看思路!
0x02 渗透
1. 信息收集
(2) 陷入一丝困境,但是猛然发现辰光客服系统,随后丢到百度,看是否有开源系统,准备代码审计一波,结果突然看见一条这么个信息,然后点进去看了看,嗯!尝试!!
2. 漏洞利用
(2) 开始构造exp,非常简单
(3) 成功上传php小马,并Getshell,接下来就进一步分析,看见一群网站,都分别打开看了下,全是各种各样的诈骗网站
3. 提权
(2) 收集下内核信息
(3) 使用了很多内核提权的模块都没有成功,然后在尝试了一下今年的模块,然后成功提权
(4) 查看一下它宝塔的信息,发现诈骗金额真的数大…
0x03 最后
截止整个渗透算完成了,写的比较简单潦草,因为明天要上班,就随便写了写,也过了一个月才写这篇文章,之后详细写写所有的经验,目前这个域名已经无法访问,希望不要再有那么多人受骗了。
文章来源:G3et博客原文地址:https://www.g3et.cn/2021/记一次渗透非法网站并成功提权的案例排版:潇湘信安
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干
文章来源: https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650555477&idx=3&sn=6ac07cefcc83a589fe9ee1158a28045e&chksm=83bd21b1b4caa8a78f183d819fc16db19689df6979c0b6a147a92d920aa8c3911412f881b1f2#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh