今天逛正经网站的时候,点进去一个正常的链接,没想到直接跳转到了双色球网站,这令我很是气愤啊,扫了我网上冲浪的雅兴!于是开始曰站。
扫了一下,发现很多的注入
获取到了后台管理界面的账号密码:liming 123456
有了账号密码之后马上就登录进去
随手点一个发布广告的动能
发现有上传点并且泄露了网站物理地址
我就去用brup上传jpg文件,果然失败了,看来上传文件不行,要从别的方向下手了。
之后用了扫描器扫,发现了不为人知的秘密
FTP password is NULL
于是就用ie资源管理器登录ftp,上传了webshell,之后上菜刀
接下来就开始提权了,运行了cmd,获取了一系列的信息
win2003sp2的机子,现在来说有点太老了,漏洞比比皆是,尝试上传一个pr
然后找到他所在的目录执行文件,果然得到了system
然后就开始创建用户了
看到很简单就成功创建用户了,没有狗之类的东西还挺好,
马上就用创建的用户登录,
终端服务器超出了最大连接数。。。心碎了一地啊,那就尝试用管理员账号登录试试吧,先去抓个密码出来。
于是上传pw7抓密码
把抓出来的密文找网站破解一下
真是赶赶单单啊
本来先把盘格了来着,后来想想还是算了毕竟都不容易。哎,擦擦屁股走人。
这篇日志的 t.cn 短域名为:http://t.cn/E7jOPYY