【渗透实战】拿下一个智能交易网站经验分享

以后这类文章都会打码，只是单纯做技术分享！在群里，有人在直播R站，有站那就一起搞嘛~存在注入

存在过滤

发现可以大小写绕过然后，顺手就是启动sqlmap --tamper space2comment.py



很多朋友可能遇到这样的情况就没办法了然后就是重点了！！！我们自己写一个py脚本，原理就是手工注入去猜解

OK，成功得到账号密码提示一下，这个网站旁站还挺多的，有的是类似的方式可以拿到

登陆后台，发现编辑器FCKeditor 1.0版本没啥GG用，然后御剑扫描一下，发现一个upload.asp尝试了文件上传截断，发现找不到文件看了看服务器的信息

尝试一下解析漏洞OK，可以的，我们直接访问upload.asp文件上传图片马，然后菜刀链接没有跨目录权限，提权菜鸡，以后再说吧~最后来一张合影