注册会员后，前台很多上传点，但是均无法上传shell。
通过nmap扫描端口发现对外开放了3306端口，也就是mysql数据库端口。

然后在一处下载文件的地方，看到了个可疑的url。

通过dnslog测试，发现是个ssrf漏洞。
尝试访问百度，得到出是完全回显的ssrf漏洞。

尝试这个ssrf是否支持其他协议，发现支持file协议，完全回显，又可以读文件，真舒服。

那么现在只需要让网站报错 爆出绝对路径，或者尝试去读取一些配置文件看看能否找到网站的绝对路径，最终读取到网站数据库的配置文件，那么就可以连接上数据库就可以拿到管理员账号密码了。

读取到 /etc/httpd/conf/httpd.conf 这个文件，发现网站路径为 /var/www/html 。

于是准备尝试去读取index.php发现居然没有内容，最后各种测试，各种组合，都没任何关于网站的回显，自闭了。

没办法，那就只有想办法让网站报错，看看路径对不对。

终于找到了个点让网站报错，发现之前的路径不对。

最终经过翻代码，找到了数据库配置文件，成功的找到了数据库账号密码。

成功连上了数据库。

最终成功进了后台。

后台还有个这个功能…… 嗯…… 非常好 over……

作者：算命縖子，文章来源于http://www.nmd5.com/