内容简介：

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

周末闲来没事干，分享下周末挖的一个垃圾0day
直接弱口令进去
目的明确，找找上传点
原来是小黑子（黑名单）
直接jspx上传看看
上传成功，但你到是给我返回路径啊，复制上面的看看
我干，直接下载出来了，直接f12看看找找jpg路径
发现还是有相同时间命名的文件，Fuzz路径看看，应该2015是时间，logo是上传参数，最后是时间命名文件全是400
真是多看一眼就...

查看原文

? 记一次曲折的黑盒oa到通杀getshell