目标:www#caobu#com,www#125du#com

　　工具:星号密码查看器

　　FlashFxp

　　话说近期Discuz! 6.0.1 UC论坛程序出现安全缺陷,直接访问论坛下的/uc_install目录,如果存在,则进入UC模块安装程序,刚好我遇到了一个Discuz! 6.0.1 UC系统的论坛(www#caobu#com)(图1,图2)

　　

                                                                       　　图1

　　

                                                                        　　图2

　　出于好奇下,检测一下,输入www#caobu#com/uc_install(图3)

　　

　                                                                                   　图3

　　跟Discuz! 6.0.1 UC论坛程序出现安全缺陷完全敏合,Mysql name & Mysql Password都出现在眼前(图4)

　　

　                                                                                   　图4

　　由于是*******星号类型的,看不到密码,所以使用星号查看器进行查看(图5)

　　

                                                                           　　图5

　　因为本人有个怪习惯,总是喜欢利用一下社会工程学来进行入侵,也出于好奇,想到一下Discuz!论坛系统下传大马拿webshell,于是试了一下在前台登陆,username:kp112083 password:lhqsc027387(图6,图7)

　　

　                                                                               　图6

　　

                                                                                　　图7

来顶一下

论坛求助