重生第一篇之不经意间的Getshell

点击上方蓝字关注我们即将告别2023，让我们一起展望2024Goodbye 2023   提前祝安全界各位大师父们，元旦快乐！Seraph安全实验室公众号重新起航将会在每周一及每周五更新原创攻防文章   希望各位大佬多多转发、多多支持！前言01    本文记录了在某学校网站渗透测试项目中的经历，通过发现并利用逻辑漏洞成功获取后台超级管理员权限的过程。进一步，通过利用文件传输服务成功获取Shell，揭示了系统存在的安全隐患。实战记录过程02    选了一个学校的目标，心想可以找找学生信息泄露的信息，上上分~按照往常习惯，探测一下端口，未发现高危端口对外开放，接着扫了扫目录，检测了一番接口，未果。进入登录页面，有常规数字验证码，看看绕过。很好可以绕，直接进入intruder模块，按照常规的规则是学号+身份证后六位，收集收集信息，开 ………………………………