一.先用御剑扫描
二.点击第一个目录,发现sql文件
三.把它载下来,用Notepad++打开。发现管理员的账号和密码(admin的密码好像被人改了,然后我用admin888登的后台)
四.后台地址127.206.31.85:1001/admin,点击右侧的下载系统:添加下载资源。然后选择小马上传即可
另一道:Bugku-企业管理系统
1.bp爆破后台密码
2.登录后台->我的应用->网站体验->文件校对
3.发现很多小马,然后用K8大佬的一句话爆破工具
ps:感觉捡了别人便宜,改天再看看大佬的wp