记一次跟突破360主机卫士上传
一直很想写点什么 没什么时间上电脑 偶然上来一次 随便逛逛 也不知道写点什么好 最近放放假 熬了个通宵渗透个垃圾站。小小的记录一下
目标站: xxx.com 织梦程序 2008 ii7.5
随意看一下 没后台版本也不老 基本没啥搞头 转入旁站
Iis7.5 相对 7.0 好处就在404显示绝对路径
D:\wwwroot\xxxxxxxxx\wwwroot\
虚拟机还是很变态的那种 遇到不少。
站点比较多先拿一个 旁站 在做打算 御剑扫会 发现一个fck 无奈iis7.5+fck
好在是个asp版的 要是其他版本直接可以无视了。本以为截断上传 传个马应该是分分钟的
抓包上传被拦截 返回信息
上传半天之后超时了 被拦截了 360主机卫士 asp asa php 脚本类全拦截了 正常的图传得没有问题
想想办法突破 以前见大牛发过一个 form-data回车就能突破 但是这招好像不管用了。
一个空格过滤了。但是 N个空格之后 就不在拦截了
马虽然传上去了 但是404 开始以为是加了空格 上传参数变了 文件传不进去 又经过一番倒腾
正常传图能打开 加空格传图也能打开 SB了。
一句话肯定被杀了 陆续上了几个自我感觉不错的小马一句话 无一幸免。。全部杀光 NND
然后尝试传图片一句话 用包含的方式 结果成功了。这下不杀了 包含还是很好用的
然而上菜刀的时候又拦截了 最后我怒了。。 直接来了个大马
图片就不上了 太麻烦了这段
你以为这就结束了? 不要急往下看。
拿到了大马自我感觉良好 KO了一头360
接下来最痛苦的事来了。虚拟机提权 不支持aspx shell组件被删 绝望了。
这个时候 很多小朋友也许就准备要放弃了。 D盘没权限 咦E盘可以访问 运气大爆发。
看到一个网站备份文件夹 这种人品没得说了。 还有就是细心真的很重要 本以为有root的备份
还想把服务器提下来 结果运气就到了。
后面的也就没什么好写的了。 下载备份 data找数据库密码 连数据库找md5 前三后一 后面步骤图片
记一次跟突破360主机卫士上传相关推荐
- Bypass 360主机卫士SQL注入防御(附tamper脚本)
0x01 前言 在测试过程中,经常会遇到一些主机防护软件,对这方面做了一些尝试,可成功bypass了GET和POST的注入防御,分享一下姿势. 0x02 环境搭建 Windows Server 200 ...
- 如何把主机系统上传到服务器,主机系统上传到服务器
主机系统上传到服务器 内容精选 换一换 安装传输工具在本地主机和Windows云服务器上分别安装数据传输工具,将文件上传到云服务器.例如QQ.exe.在本地主机和Windows云服务器上分别安装数据传 ...
- linux系统安装文网卫士,360主机卫士 Linux 版本 安装
主机卫士 Linux 版本 用户使用手册 1.软件安装 1.1 必要环境 1)curl (通过 yum 戒者 apt-get 安装) 服务器版操作系统默认已经安装了 curl,如果没有请自行安装 ce ...
- 虚拟主机怎么导入PHP文件,虚拟主机怎么上传PHP文件到htdocs
回 1楼ivmmff的帖子 这个教程我看过,也安步骤安装了也连接不上,也删除从头再次也不行,是否在下载出错或是版本不对还是修改不对?是在ftp上修改吗?为什么我的修改不了,要记事本才可以?是xp系统问 ...
- ubuntu php上传文件,Ubuntu中增加apache上传文件大小限制(突破Aapache默认2M上传限制)...
upload_max_filesize – 没错就是这个,最大上传文件大小限制.你会发现此处默认为2M. memory_limit – 单个脚本可用最大内存,此设置可以防止设计有缺陷的PHP脚本占用所 ...
- linux 上传网页,Windows和Linux主机FTP上传网页注意事项
一.Windows主机上传网页文件时应注意以下几点: 1.建议不要使用汉字命名目录及文件. 2.如果您是使用了ACCESS数据库,目前虚拟主机不再支持通过OBDC方式调用数据库,建议您通过Access ...
- godaddy php5.ini,Godaddy主机修改上传文件限制
godaddy虚拟主机上传文件有限制,限制为8M.可以通过改php.ini文件. 默认会有一个php.ini文件,但是改来改去不生效,最后把php.ini重命名为php5.ini,<<你的 ...
- 小鸟云虚拟主机Wordpress上传中文附件出现乱码
总结了小鸟云虚拟主机在使用过程中,Wordpress上传中文附件出现乱码和后台上传中文图片不显示解决方法 编辑wp-admin/includes/file.php这个文件 1.查找: $new_fil ...
- 【Xshell+云主机】rz、sz命令实现本地与云主机文件上传下载
1.下载rz.sz #Ubuntu 18.04+ #先更新源 sudo apt update #安装lrzsz sudo apt install lrzsz 2.sz从云主机下载文件到本地 常用参数 ...
- 360浏览器非法上传用户隐私全程解析
新做了个网站,后台做了个登录记录功能,发现经常有人在非法登陆我后台,而我网站是禁止任何蜘蛛访问的,所以不存在被各搜索引擎收录而被用户搜索到来访问,更何况,前台是没有用何页面的,我只是后台用来记录某些东 ...
最新文章
- 剪绳子python_Python剪绳子如何实现 Python剪绳子实现代码
- 程序员跳槽全攻略pdf
- java程序员个人能力介绍_Java操作员能力问题
- 团队项目讨论及计划修订版
- linux mysql备份大量数据库,linux备份整个mysql数据库
- linux永久启动服务命令,Linux(CentOS)用service命令启动任意服务
- mysql插入性能测试
- java 继承 String类
- http://www.blogjava.net/heyang/archive/2010/12/02/
- BGP路由反射器原理及配置实例
- linux设置r镜像,一劳永逸,R的个性化默认配置
- 实习成长之路:设计模式二:接口vs抽象类的区别?如何用普通的类模拟抽象类和接口?
- 【风电功率预测】基于matlab粒子群算法优化LSTM风电功率预测【含Matlab源码 941期】
- Android项目无用文件 BAT批处理 清理
- SQL2019 用户sa‘登录失败(错误18456)
- mac 系统 突破百度网盘网速限制
- kubernetes故障现场一之Orphaned pod
- Win10更新的若干弊端以及关闭Win10更新方法
- ES5-ES6-ES7_字符串与JOSN格式的数据相互转换以及深度克隆新对象
- 湖北理工学院c语言作业实验六,湖北理工学院c语言实验报告实验六