记一次有手就行的getshell

Posted 2022-02-03 李白你好

对一次某学院的getshell

信息收集：

在某fa上找到一个后台登录界面，有验证码，首先我先放弃爆破。直接试试弱口令，毕竟弱口令yyds。

尝试弱口令：

admin/123456一发入魂，随即找到一个上传点，之前的几个上传点被白名单限制的死死的！

上🐎

这个点任意文件上传？我人都傻了！开发怎么想的！刚才紧，现在松***

访问试试，路径也给了

没关系，至少是执行了！直接上冰蝎日他

成功拿到shell,不再进行更深入测试，已交给edusrc