某预警平台Get Shell
某次 HW 中遇到的目标,记录一下过程
- 某次HW中用hunter搜到一个目标资产,打开发现为某山洪灾害检测预警平台
- 尝试弱口令
admin/admin
登录成功 - 在
系统维护
里可以查看该县的领导以及手机号等信息 - 发现上传点
- 上传哥斯拉webshell
- 可以看到已经上传成功了
- 通过审查元素发现绝对路径
- 哥斯拉连接成功
- 上传CS马,提权
- 内网扫描未发现其他机器,结束。
《某预警平台Get Shell》链接:https://xdym11235.com/archives/231.html 采用CC BY-NC-SA 4.0 CN协议
2022年2月16日(含)前发表的文章采用CC BY-NC-SA 3.0 CN协议,详见关于页版权声明
运气太好了!