实战|记一次女朋友学校漏洞挖掘

0x00前言嘿嘿，周四女朋友约我出去嗨，着实激动。趁着“带薪拉屎”期间去瞅了瞅女朋友的学校网站（女朋友还小，在上高中），其实很早以前就想搞了，只不过一直没有发现学校官网，但是在最近挖漏洞期间，在fofa中闲着没事搜索了一下这个学校，嘿，找到官网了，并成功拿到shell，记录一下。0x01开搞！！！首先呢，先找到官网，百度等各大搜索引擎处都没有此学校官网，猜测是没有或者是太老。于是在fofa中尝试利用title语句查找一下。成功找到学校网站，特别low的一个页面，看来是一个废弃的服务器了，10年的。点击进入应用连接内的系统在输入框内，加个单引号，报错，猜测可能存在sql注入，抓包直接上sqlmap跑sqlmap没跑出来，我这个电脑跑sqlmap有毒（每次都必须让我加–proxy，哪位表哥会解决，麻烦联系我一下，万分感谢），就随便截个图 ………………………………