这网站没数据库备份,恢复等项目啊,大小马上传也不给上传地址,上传图片各种格式都提示格式不对,一句话 ...
:L 把地址给我
Re: 进入网站的管理后台后,怎样得到webshell?
既然是自家哥哥的网站,那最好先确认一下是否有明确的书面授权。没有授权就尝试获取webshell,即使是直系亲属的站点,在法律上也可能构成非法入侵。 回到技术层面,进入后台后可以留意几个常见的利用点:比如后台是否有文件上传功能(产品图片、附件上传),是否支持模板编辑或自定义代码,数据库导入/导出环节有无执行SQL语句的机会,以及是否有低权限用户越权到高权限用户的漏洞。 建议先从这些功能入手,看能否上传一句话木马或利用文件包含漏洞。但请一定在法律允许的范围内操作,如果只是安全检测,更推荐通过正当渠道(如联系网站开发者或使用安全扫描工具)来发现和修复问题。
页:
[1]