起因:夜黑风高的晚上内卷中,某大佬发了一张图过来。
1. 大佬来吊我:
2. 通过一番交流,他将phpinfo给了我:
接着看了一下问题:
Disable_functions函数:
3. 看丑恶的嘴脸:
4. 又沟通了一下,上传点是Logo处:
5. 分析原因:可能是被拦截执行、或者是参数定义失败、又或者是马有问题,采用思路:上传一个无毒无害的php文件,里面就简单的测试能否成功,然后再传简单的执行打印的php文件,看看是否执行,再传一个冰蝎二进制动态加密+简单免杀,看能否用。
6. getshell成功,而且暂时未触发警报,了解到服务器对面有运维人员在看。
7. 得绕disable_function函数执行命令,技术有限,只会用插件。
开玩笑勒索一下:
8. 然后文件上传处,尝试直接传最原始一句话php,连接
点到为止,好像是没域,而且是大佬的朋友的朋友的站。
9. 不讲武德!大意失荆州!
沟通过后,总结一下:二进制动态加免杀估计是暂时没触发警报,后面的直接简单一句话木马蚁剑连接后,对方公司估计是接到了警报,运维人员立刻改密码,删木马,导致了网站和马都连不上去。
丑恶的嘴脸: