中国蚁剑连接http://192.168.239.202/yxcms/index.php,使用ipconfig 命令进行虚拟终端功能测试,发现能成功返回 Windows 7 服务器 IP 地址192.168.40.133 测试中国蚁剑文件管理功能,发现成功回显 webshell 所在目录C:/phpStudy/WWW/yxcms/public,说明中国蚁剑成功连接 webshell 至此攻击者通过存储型XSS至getshell,成功获取...
该漏洞可能造成的风险是:攻击者利用弱口令登录网站管理员后台,以管理员权限进行恶意破坏。 本靶场配置了 yxcms 管理员账号 admin/admin123 弱口令,如下图所示。 03 利用方式 访问yxcms页面,浏览网页相关消息。发现页面首页提示后台登录地址:http://192.168.40.133/yxcms/index.php?r=admin 尝试访问并用默认口令 ad...