嗯，偶遇小鬼

下午開著xshell調試自己的垃圾網站，控制台突然冒出許多輸出，心想這垃圾小站沒什麼人訪問吧，就仔細看了看控制台的輸出，這一看，就把自己給樂著了。

開始，是正常的被打開了首頁，然後應該是隨意的點開了兩個鏈接，然後就發起了兩個錯誤請求：

估計是沒發現什麼，就想從robots.txt裡面找網站的管理入口：

奈何我沒弄robots.txt，哈哈

估計是不死心，在胡亂點擊一眾頁面之後，又嘗試找robots.txt：

結果是明白的，沒有robots.txt

過了一會兒，想找上傳漏洞？從admin的路徑POST了一個PHP後綴路徑，嗯，PHP後綴，

哈哈哈哈哈……

對不起，404

還不死心，又POST了一個PHP路徑，嗯，還是PHP

結果昭昭：

CSRF把他踢回去了。

然後，以為他死心，結果，並！沒！有！

不死心的他，繼續POST，繼續PHP，甚至繼續wordpress，嗯，WordPress也用上了。

結局是明確的，404。

歇停了一會兒，死心了嗎，不知道，暫時沒了動靜，

估計是個耿直的孩子。

想拿我的垃圾小站練手前，也不先看看小站是個什麼架構，

拿PHP那一套滲透測試來套Django，

--------------------------------------------------0704更新--------------------------------------

有人評論是爬蟲，嗯，您見過POST一個PHP的上傳漏洞來爬網站的嗎？

詳見第四圖：

admin/include/uploadify.php?tablepre=xx&met_lang=met_lang&lang=cn&met_admin_table=met_admin_table%20where%20usertype=3%23&metinfo_admin_id=1&metinfo_admin_pass=2&type=upfile&met_file_format=jpg|pphphp

網上教程般的MetInfo_v5.1.3 任意文件上傳漏洞利用代碼，網上教程……教程……程……

有人評論是漏洞掃描器，嗯，以我菜雞級別使用kali 的經驗來看，從未碰過如此low的「漏洞機器人」，可能是我太菜雞了，沒見識過這種漏洞掃描器。

自己用owasp zap的掃描：

控制台的輸出：

歡迎繼續討論……

推薦閱讀：