记一次非法网站渗透

	本篇文章已得到警方授权 1 网站主页 02 1 毫无技术含量的后台 bc站，顺手几个敏感目录路径打进去，看看能不能有东西出来，robots.txt，admin，login等 robots404，login都404，但是发现admin直接跳转至网站后台登录页面 首先就是经典的弱口令admin 123456等 经典，我日站这么久，就遇到两次弱口令，弱口令走不通了，换个方法 发现admin目录下有个login.php 直接访问，还是登不进去，还以为直接挖到个未授权呢，在找找其他常见的目录，御剑扫一下 看下这个文件main.php 发现可以直接进入后台页面 ，BUT，啥功能都用不了说明该路还是行不通最后靠着备份文件查看密码进去了^^ 我就是憨批 (备份文件不是扫出来的，是域名.zip猜出来的） 好嘛，朴实无华的账号密码，登录进后台 进后台第一件事先看下流水 总流水才140多万，用户总余额也才几百万，跟其他专打bc的大哥比显得好辣鸡 2 艰难的getshell    后台逛了一大圈，发现没有啥利用的点，于是还是返回原点，从前台入手 进入用户界面，先四处搜寻一下 点开充值，简单绑定一下 试一下绑定邮箱，是否能直接写入马（因为我们有网站源码，所以可以直接看日志路径） 挺离谱的，我也没输入密码... 又是一阵漫长的搜寻过程，发现了意见反馈好像可以直接发送 随便输入一段乱码先 感觉有戏 从后台可以发现我写的这段字符串，ok直接写马，冲 ？？？？失败，这就离谱 我单独上传<?php zac 还失败，看来直接过滤了<?php，这条路不通了 又是一段漫长时间的测试，发现黑盒肯定不太行了 掏出我的审计大宝贝 开筛，经过漫长的时间，锁定了一个函数，upload 文件上传最舒服，上传成功，搞到路径，直接拿shell 前面定义了一大堆限制，最主要的一点 可以看到，只允许上传图片，那就直接搞图片马 后面的过程就不用说了，朴实无华图片马，上传shell一条龙   (getshell不是我操作的，是我身边一个大佬拿的shell 他貌似是利用目录解析漏洞拿到的shell，具体手段我也不太清楚，太菜了....） 朴实无华 后记 网络上的bc网站，后台全部可以人为控制 千万！千万！千万不要沾赌！！ 开始会给你点甜头，后面就会让你万劫不复 该站点已移交警方