2022年09月的内容

着了魔似的玩了几天羊了个羊，我发现我真的有病，为啥要玩一个一开局就是死局的游戏。我冷静的从程序员角度分析，发现这款游戏就只是随机发牌，可能一开局就是死局，根本无解。

当获取了webshell或者能远程MySQL，同时又能获取root密码，这时我们想获取更高级别权限执行一些系统命令或者新建管理员账户，可以通过MySQL UDF提权来实现。

由于phpsso_server后台登陆弱口令导致被黑客攻破，随后黑客利用Ucenter api地址中存在漏洞getWebShell，之后通过MySQL udf提权获取管理员权限。这次攻击黑客利用漏洞获取webshell、窃取数据库，最后控制了服务器。

本文介绍了蚁剑的安装、使用方法，使用eval和assert制作一句话免杀小马和踩坑总结，蚁剑加密 WebShell 绕过杀软WAF

出于服务器安全考虑，我们需要隐藏Apache版本号和安装的apache模块信息，并在HTTP头中隐藏PHP版本号。这样可以让攻击者更少获取到服务器信息，进而增加服务器的安全性。