记一次渗透实战-代码审计到getshell

白帽子左一 · 公众号 · · 2024-04-17 14:11

扫码领资料获网安教程一次渗透测试遇见的系统，遂进行代码审计文章来源: https://forum.butian.net/share/1206文章作者：dota_st如有侵权请您联系我们，我们会进行删除并致歉0x0前言接到任务，需要对一些违法网站做渗透测试......0x1信息收集根据提供的目标，打开网站如下在尝试弱口令无果后，根据其特征去fofa以及谷歌搜了半天，期间搜出好多个UI差不多的网站，后来发现其实这些站点都是 UI 做了变动，后端代码都是一样的。最终定位到该系统为某网络验证系统下载最新版的代码到本地，开始审计。0x2源码解密安装完成后打开首页结果弹了没有授权想来应该是需要交钱授权域名才能正常使用。我们回到代码看看，入手是个index.php跟进core/common.php看看被加密了，加密类型是一代魔方。不过猜也猜的出来应该是在这个php文件和远程的一个地址进行了一个通信 ………………………………

原文地址：访问原文地址
快照地址：访问文章快照

分享到微博