可通过qq聊天机器人拿下服务器权限
早上起床看到群里机器人有个ping主机的功能
很快啊 我就想到了命令执行 进行测试一下
果然命令成功执行 明显下载文件执行就能拿权限了啊
当然 按传统功夫自然是点到为止
所以我就没继续了 给群主说明了情况 进行了处理
这件事告诉我们 安全无小事 哪里都有可能出风险
很多人问怎么上传文件 下载执行 建议大家看一下3gstudent师傅的文章
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E4%BB%8Egithub%E4%B8%8B%E8%BD%BD%E6%96%87%E4%BB%B6%E7%9A%84%E5%A4%9A%E7%A7%8D%E6%96%B9%E6%B3%95/
评论123次
传统功夫虽然点到为止,但是每次执行命令都能被整个群看到,小心群主一个连五鞭加一个接化发给你抓走。
啪的一下就执行了啊 很快啊
命令执行而已啊...
按照传统功夫肯定是点到为止,lz可不是乱打得哈,whoami, net user, powershell 训练有素,明显是有备而来,我劝这位年轻群主,耗子尾汁,好好反思.不要搞被窝里斗
这波机器人大意了啊 没有闪
这个姿势有点偏门,去看推荐的文章去了。
啪的一下就执行了啊 很快啊
前两年貌似机器人就有这种。没想到现在还有啊
这波机器人大意了啊 没有闪
按照传统功夫肯定是点到为止,lz可不是乱打得哈,whoami, net user, powershell 训练有素,明显是有备而来,我劝这位年轻群主,耗子尾汁,好好反思.不要搞被窝里斗
群里也是一脸懵逼 可能你以后就是群里的大明星了
有点像ctf的脑洞了
当年学xidvwa的时候就是这么练xirce的
之前也有人发过帖子回复垃圾短信 XSS也挺有意思
谢谢分享,在群里面直播拿权限的话,可以连取证溯源的功夫都省了
直接cs powershell上线一波
这样都行 有点像ctf的脑洞了
机器人的权限过高了,没做好权限分离限制
哈哈哈,估计群主也没想到吧。。
谢谢楼上各位师傅
这种没做过滤的机器人已经很少见了。。
小心被群主一记闪电五连鞭踢你出群
命令一发,全群都看到了
传统功夫虽然点到为止,但是每次执行命令都能被整个群看到,小心群主一个连五鞭加一个接化发给你抓走。
我不讲武德 我的 我的 我错了 我会好好反思 耗子尾汁的
思路不错,哈哈