一次毫无亮点的渗透

TOo。

初来乍到 求关爱
大家好 我是TOo。今天来给大家分享下我挖掘到的任意文件上传漏洞以及姿势
                                                                    转载请注明（www.ihonker.org）
先来无事 和朋友挖洞 突然SSS交流群95放出了个网站：http://www.inxedu.com/
这里就不打码了 毕竟我喜欢无码的东西
点击注册http://wx.inxedu.com/ 进入管理页面

有个管理头像= = 难道存在神奇的上传漏洞？ 点进去看看

懒得抓包了 先F11看看吧（这里跟大家说下 反正我在做渗透测试的时候 上传点都喜欢审查看下 有的时候有意外惊喜呢）
  
没错 你没看错
直接添加后戳 秒了jsp上去 完美getshell
你以为这就完了吗 NO！
百度了下 这个建站源码很多网站都在使用
分分钟挂了几个txt 放上去


http://www.zerocgn.com/images/upload/temp/20161117/1479384957893.txt
http://cgdream.cc/images/upload/temp/20161117/1479385064648.txt
http://www.atclass.cn//images/upload/temp/20161117/1479384761055.txt
当然还有更多 没时间getshell 这次教程就到这里

总结：
1.        在你日站的时候 审查元素其实很好用的
2.        当你发现了一个任意上传漏洞的时候 其实可以多留心下 看看是否影响更多站
3.        其实 整个IHONKER 我最帅！我最帅！我最帅！
还有 那个怎么上传不了 图片没法上传 我的WORD也没法上传 麻烦管理看下

小圈圈

你是在逗我？

w2015

大兄弟，这就有点尴尬了吧！

linghun

兄弟,你这是传说中的意念渗透吧?我怎么也在sss看到了?

浮尘

好无语

90_

实验证明，图片是可以正常上传的。

wuyan

可以上传啊，大兄弟

十页书

我去试了一下，都快笑出声了。真的可以啊，哈哈哈。好好玩

enew

你可真逗

xema

艺术在于实验，实验表明可以上传……你去附件那里面上传……我猜你是点图片那个按钮