手工payload试试,确实存在
接下来就是写shell了,因为**.**.**.**流量还是挺大的,毕竟是一线城市。猜到会使用cdn或者负载均衡一类的。
先nslookup一下看看dns解析的ip。
<img src="/upload/201605/27153553bbe355f94ca4bdf1d27cc98163e1df6c .png" alt="1C5B1383-478B-4ED8-9FB0-0F6FCE276256.png" />
解析到了这个ip“**.**.**.**”
证明没有cdn,是内网部署了负载均衡。
然而.......
发了8万多个请求,才写了一台负载均衡机器的shell。
所以导致连接没半小时就断开连接了。。
接着我就在昨天post了二十一万次请求
用了大概1天多的时间间隔发包,现在这个webshell只能白天连接,晚上必断。
我估计2/3的机器都给我部署了webshell吧。。。
其中有各种日志记录的目录以及注释。
接着查看.bash_histroy得知该服务器可能是核心的关键。
接着翻了翻配置文件的调用接口
查看一个常用的部署脚本得知其发布服务器的ftp账户密码。
接着发现内网某台机器提供memcached服务
因为负载均衡多台机器不能允许直接访问外网,出口流量也只有80端口能够ping外网,除非使用端口复用,将代理流量转发到80端口,但是这样也许会对线上业务造成影响。
所以至今并没有很好的方式绕过WAF进内网,但如果服务器都挂马的话,相信肉鸡上线率还是很客观的