無(wú)意間發(fā)現(xiàn)一個(gè)phpstudy2014探針界面,決定嘗試一下弱口令,萬(wàn)一可以登錄就可以直接寫(xiě)入木馬了。
目錄掃描得到phpmyadmin頁(yè)面,root/root登錄成功。
進(jìn)入里面,查看日志是否開(kāi)啟,發(fā)現(xiàn)開(kāi)啟(qiexi)。
查看日志文件保存路徑。
那可以寫(xiě)入文件了,寫(xiě)入test.php文件。
通過(guò)日志寫(xiě)入一句話木馬。
訪問(wèn)一句話木馬,返回500說(shuō)明寫(xiě)入成功。
蟻劍進(jìn)行連接,但是發(fā)現(xiàn)無(wú)法執(zhí)行命令,回顯ret=-1,百度也沒(méi)結(jié)果,后面就沒(méi)在找其他利用點(diǎn)。
菜雞一枚,大佬勿噴!
如果你也在學(xué)習(xí)滲透,可看看我整理的500G學(xué)習(xí)資料!私信我:安全;就可以了
