# O1 k# X* X3 V: H $ _& @/ E+ o' i" u" {" l& Z$ u2 [* M8 x
**三、总结** $ e; Q; A) m; g i& E4 ]+ L8 r& [5 P' q
** ** **案例之所以最终获得webshell,很大程度上是取决于几个漏洞的组合,首先通过右键查看源代码找到目标系统使用的系统,因为之前测试过与目标类似的程序。然后“对症下药”找到了ping未授权访问页面,通过绕过ping命令正常功能执行pwd命令获取到网站绝对路径,其次,使用任意文件查看漏洞去读取疑似存在os命令执行漏洞的php进行简单审计,经过确认存在此漏洞,最后构造os命令执行payload,最终getwebshell,整个getwebshell过程就是一个漏洞的连环组合,渗透更多的时候是靠运气,如果这几个环节有一个环节漏洞不存在或者没挖到,可能导致getwebshell失败。**; W. W! k3 u) d0 r& f& W
8 c! n. o! z& l! L$ S** ** **综上所述,运气与挖洞功底同等重要,谢谢观看** **! **! x- k$ k! A) D. V$ V
[/md]