下面直接開始。
為什麼會搞這個站點?因為新聞動態裡面有通知,我們學校安排我去參加培訓,我需要看時間安排。
然後呢?後台管理,,,居然有人把它直接放到了首頁,,,(ps:我反正是醉了,明顯是給黑客們方便)進入後台登陸頁面看看。
這就是後台登陸頁面,看這個樣子應該是自己寫的乙個web。因為前幾天,剛剛發現安徽省的乙個集群的萬能密碼0day。。。所以由於習慣,直接萬能密碼測試。
可以看到,我們直接就進來了。然後轉了轉,發現有好多資訊。
在報名表裡面可以獲得報名學校老師的資訊,,,如果進行社工,那是相當容易。省內高校的老師資訊就這麼容易被人拿到了。哎,,,繼續!
然後在「文章列表」裡面看一下,我故意翻到第十頁,找了一篇文章去編輯。
可以發現,有倆個上傳點。
經過測試,第乙個上傳點,通過解析漏洞,可以繞過驗證上傳木馬成功。第二個上傳點,沒有驗證,直接上傳木馬就可以。上傳成功以後,我們用木馬進行登入。
登入成功,不過該伺服器,許可權管理的貌似很好,只有f盤和h盤有許可權訪問。
在h盤裡面,有萬惡的360!!!!
看到沒?這些不是我上傳的,,,是在今年4月份,已經有人進來過了。
掃瞄了一下埠,3389沒開。還好。我想著提權來試試的,後來想還是算了吧。畢竟是省內的、而且是我們計算機的教育研究會。就算提權成功也得告知老師。
這裡其實能夠看到,這台伺服器上面肯定不僅僅只有乙個web站點。
工大的胡東輝老師,好像之前在網安培訓的時候說了一句,各位大牛不要黑這個站點啊。
ansa.ahjsjjy.com
都是ahjsjjy的名字,,,估計也是同一臺伺服器。因為時間有限。測試只能進行到這裡。暑假還有認知實習,,,哎。我還是去寫**吧。
還請老師通知有關人員,進行該web站點維護。
安徽省高等院校大全
萬博科技職業學院 三聯學院 中國科學技術大學 亳州師專 亳州職業技術學院 六安職業技術學院 合肥資訊科技職業學院 合肥共達職業技術學院 合肥學院 合肥工業大學 合肥師範學院 合肥幼兒師範高等專科學校 合肥濱湖職業技術學院 合肥科技職業學院 合肥財經職業學院 合肥通用職業技術學校 安慶醫藥高等專科學校...
安徽省大資料產業聯盟成立
9月30日下午,安徽省大資料產業聯盟成立大會暨2017大資料蜀峰論壇在蜀山經開區舉行。省經信委副主任王有軍,副市長王文松出席會議。安徽省大資料產業聯盟是在省經信委指導和支援下,由致力於大資料研發 資源管理和應用推廣的企事業單位 科研機構和社會團體等自願組成。聯盟以 開放合作 共享共贏 為原則,以匯聚...
2023年安徽省ACM 問題 B 紙牌識別
問題 b 紙牌識別 時間限制 3 sec 記憶體限制 128 mb 題目描述 alice沉迷於機械人研究,他打算做 個機械人來檢查 副撲克是否完整。現在,他想請你幫他寫 乙個程式,來識別紙牌,每張紙牌都有 個花色 四種花色,分別用大寫字母p,k,h,t表示 和一乙個數字點數 1 13 紙牌可以用ab...