Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

php中世界最好的语言
リリース: 2018-05-25 11:50:44
オリジナル
2211 人が閲覧しました

今回は、モール サーバーの root 権限を一括で取得するための Oday の権限昇格の詳細なステップバイステップ ガイドをお届けします。モール サーバーの root 権限を取得するための Oday の権限昇格に関する 注意点 は何ですか。以下は実際的なケースです。見てみましょう。

重大度: 特別

解決策: 1. 脆弱性ページにアクセスしたときにユーザーの身元を確認します。 2. アップロードされた ファイルのファイル拡張子名を確認します。

5月19日に会社で開催された運動会に参加した後、とても興奮して帰宅したのですが、午前1時近くになっていましたが、まだ眠れなかったので、試しにノートパソコンを開いてみました。以前にモールの脆弱性を確認し、自分のモールに脆弱性があるかどうかをテストしたいと考えていました。自宅のパソコンは普段音楽を聴くためだけに使用しており、Chromeブラウザしかインストールされていないため、今回は自社のことを全く知らない攻撃者として自社モールへのペネトレーションテストを実施してみます。記憶に基づいてブラウザに Oday の場所を入力してみてください。

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

長年の Web 開発経験とこれまでの侵入に関する知識から、脆弱性がまだ存在していることは明らかです。そこで、Baidu で .jpg 画像を見つけ、cmd merge コマンドを使用して、その画像を一文のトロイの木馬にバンドルしました。それから簡単なフォームを書きました:

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

すべて準備ができました、アップロードします:

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

成功したアップロードの画像パスアドレスが返され、証明されます: Xiaoma は大丈夫です~

急いでスイスアーミーナイフを使ってくださいウェブ普及業界の皆さん 接続してみましょう:

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

アップロードは成功しませんでしたか?どうしたの? ! !この時点では、ディレクトリはロードされていますが、ファイルはロードできません。直感と経験から言えば、問題はトロイの木馬が接続された瞬間にあるため、ブラウザを開いて状況を確認する必要があります。トロイの木馬の内容:

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

「この Web サイトにアクセスできません」と「接続がリセットされました。」 Web サイトのどのページにアクセスしても、「この Web サイトにアクセスできません」と同じ応答が返されることがわかりました。 「接続はリセットされました。」 言うまでもなく、私の IP はサーバーによってブロックされています。これは非常に恥ずかしいことです。

しかし、私たちのような、Web 開発に参入した新人にとって、これは問題でしょうか?あなたは私たちをとても見下しています!

~~~~~~~~~~~~~~~~~~~

ここで1分省略...

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

接続成功~

しかし、この時点で別の問題が発生します。権限が不十分で、特に殺されやすいです。また、テスターの IP は非常に貴重なので、プロキシを購入するのにあまりお金をかける余裕はありません。完璧な解決策: アクセス許可ポリシーを介して、許容可能な暗号化ホースを渡します。

~~~~~~~~~~咚咚嚚~~~~~~~~~

ここで2分省略…

面倒だったので百度でGuogouを検索しただけです 馬は抜かれましたアップ(管理者が共有)。

途中、Alibaba Cloudのセキュリティポリシーやその他の理由により、私のIPは何度かブロックされましたが、最終的には成功しました。

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

(この写真はマレーシアのスクリーンショットです)

パスワードを入力し、マレーシアの管理インターフェースに正常に入ります。

Oday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明

パラパラとめくって誤ってルートディレクトリに入ってしまったのですが、マレーシアにはどのような機能があり、現時点でどのような究極の操作ができるのでしょうか。言っておきたいのは、思いついたことは何でも実行できるということです。詳細については公開しません。結局のところ、この操作はテスト目的でのみ許可されています。他の人のサーバーを攻撃するためにこの方法を使用しないでください。注意: 容赦はありません!

OK、このテストは終了しました。私がこの記事を書いたのは、単にこの問題に遭遇したからです。そして、周りの友達に思い出させるために記録しました。サーバーのセキュリティは非常に重要です。 ! ! Windows での権限昇格方法については、機会があれば率先してお伝えさせていただきますので、ご安心ください。

この記事の事例を読んだ後は、この方法を習得したと思います。さらに興味深い情報については、php 中国語 Web サイトその他の関連記事に注目してください。

推奨書籍:

フロントエンド テスト ピラミッドを使用する手順の詳細な説明

MySQL データベースのアクセス拒否に対処する方法

以上がOday が権限を昇格し、モール サーバーの root 権限を一括で取得する手順の詳細な説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート