根据《中华人民共和国刑法》第二百八十五条:【非法侵入计算机信息系统罪】 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

你看到了小程序,我看到了web安全

         这篇文章的阅读数居然这么多,看来大家对安全还是很感兴趣的,我也是不负众望,来写完结篇了。
上一篇文章提到了小程序的一个API接口爆出了数据库账号密码以及端口,然后从数据库的信息中找到了后台的登录地址和账号密码,但最后没有拿到web shell。
那么这篇文章就是来拿web shell的,其实这些天我一直在想,还有哪些可可以利用的漏洞或方法时,头发都快薅秃了(!^-^)。

        我从fastadmin官方的插件市场中找到了一个方法,最终让我成功拿到了web shell,网上任何一篇文章都没有说过的,算是自己摸索出来的,当然方法我还是先保留吧,毕竟新版的fastadmin没有找到相关的漏洞可以利用拿web shell。
上传一句话,直接拿下。
我试着提权,但腾讯云可能做了一些加固,copy_fail、dirtyfrag都没有提权成功。但是昨晚梦里我好像执行了啥 然后whoami是root权限,哎,不知道是不是最近想多了,居然梦里有这么个片段(^-^)~
通过前面文章的数据库+web shell拿到的网站源码,我现在做一个小程序,其实就非常简单了。
经过2周的时间,下班回家打打王者、写写代码,完成了
 
好了,这就是我从老弟分享的小程序,再到拿web shell,再到开发小程序的整个过程。
当然,我这一套是修复了漏洞的完整代码。
如果你有需要,请联系我,不免费
最后总结:“安全漏洞往往藏在细节里”
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。