摘自非透明blog f-tm.net
无聊闲逛中, 偶然到找个无聊的站点。。 看着不爽就检测下吧
拿啊D扫一下, +_+ 注入点也太多了。。
随便找一个试试。
管理的账号密码就出来了。。连密码都没加密。
扫下后台。 很快就出来了
倒。。 还要正确的登陆方式?? 怎么登?
想了半天还是没个头绪? 究竟要怎么登?
疑惑之中就闲逛 嘿嘿 RP爆发咯 在上传里面出来个登陆页面。
随便试了个默认的账号密码 嘿嘿 还登进去了
改下上传 然后试吧 才发现上传页面已经被删掉了 没办法了
这个时候没思路了 随便再把后台打进去
关键的地方出来了 后台居然登陆进去了 出来了管理的页面
貌似这个也没有用登陆, 跟啊D暴出来的账号密码也毫无关系
我+_+哟。。
后台没备份 有个上传的
于是就抓包 上传
成功上传小马
接下来传大马
进去 看了下
WS没删。
算了 到这里我就懒得提权了
吃饭去 \(^o^)/
这个管理确实很BT啊。
