WooYun.org

网站遍地都是注入漏洞，例如 http://www.yoncc.com/index.php?c=Index&a=detail&catid=17&id=50

直接是 root 权限，可以查看所有数据库的密码，但是如果只影响自己一个站也就算了，关键是这台服务器上搭了几十台虚拟主机，所以影响很大。
cmd5 解密可以得到 root 的密码，用该密码登录 FTP

利用 sqlmap 的 file-read 读到 root 用户的 bash_history，找到主站的目录， nginx 配置目录，以及发现服务器上装了安全狗
读到 nginx 配置文件发现

listen 80;
#listen [::]:80;
server_name www.yoncc.com yoncc.com www.zjuol.com zjuol.com;
index index.html index.php;
root  /www/web/yoncc_com/public_html;
include none.conf;
#error_page   404   /404.html;
location ~* ^/(up_pic|up_file|userfiles|video)/.*\.(php|php5|asp)$ {
    deny all;
}
#匹配多个上传目录
location ~ ^/(up_pic|up_file|userfiles|video){
    # 匹配文件最名包含两个.以上的文件
    location ~ "([.]{2,})$"{
        deny all;
    }
    # 配置php和php5后缀
    location ~ ".(php|php5)$"{
        deny all;
    }
}
.......

看似限制了上传文件夹 php 的访问，但真相却是：上传文件夹名称是 uploadfile，因此并没有限制 php，并且在网站的后台上传文件之后会根据日期创建文件夹，该文件夹的权限是 777（以前日期的文件夹（例如 uploadfile/2014/0101/123.jpg）权限是 755，根据 bash_history 貌似是因为某次用了 chmod -R 进行了权限修改，但是未处理新生成的文件夹），所以利用 sqlmap 的 file-write 成功写入免杀 webshell

或者直接利用 os-pwn 得到 meterpreter