至少我们曾经在一起过。
来自:一言
var xhr = new XMLHttpRequest(); xhr.open('get', 'https://v1.hitokoto.cn/'); xhr.onreadystatechange = function () { if (xhr.readyState === 4) { var data = JSON.parse(xhr.responseText); var hitokoto = document.getElementById('hitokoto'); hitokoto.innerText = data.hitokoto; } } xhr.send();
关于shopxo
shopxo是一款开源的企业级商城系统,基于thinkphp5框架开发。(随便介绍一下[aru_15])
官网:https://shopxo.net/
然后昨天一个t00ls的表哥@Foxsky分享了后台获取shell的一个技巧,所以在这里偷偷复现一下。
提供一个搜索语法:title="ShopXO企业级B2C电商系统提供商"
渗透测试
1.随便通过搜索找到一个使用shopxo搭建的演示站[aru_23](如何找到的,就不用我多说了吧?),页面如下图。
2.访问默认后台,使用shopxo的默认账号密码进行登录:admin shopxo
3.成功进入后台
getshell
1.在后台找到应用中心-应用商店-主题,然后下载默认主题。
2.下载下来的主题是一个安装包,然后把你的shell(php马子)放到压缩包的default_static_ 目录下,如下图
3.回到网页上,找到网站管理-主题管理-主题安装(然后选择你加入shell后的主题压缩包进行上传[aru_3])
4.安装成功后,shell就可以用了,地址是:http://xxx.com/static/index/default/try.php
温馨提示
成功上传shell,如果需要获取权限的话,就上传php一句话就可以了。切勿进行违法行为,遵守网络安全法。[aru_32]
