刚下班回家准备睡觉，然后屌毛舍友刘，接了一个诈骗电话，号称支付宝的客服，学生认证到期需要修改，我让他别去他们给的网站，然后刚开始让他在支付宝才做，然后让他去网页，但是人家没给他发域名，而是中文的那种域名。

让他在浏览器打开：征信查询网.run

给他说别访问，他访问了还把自己的身份证等信息输入了。

我还在使用扫描器扫描的时候，牛大的群友们已经进去到后台了，可以看到有很多人的信息和身份证，在额度管理哪里还有钱相关的东西。

我也紧随其后进去，在系统管理处有一个任意文件上传，他只前端校验了，后端没有任何校验。

上面还有很多被诈骗的数据，身份证，姓名，手机号等。

我在考虑shell怎么连不上的时候，已经有屌毛增加按钮了。。。

然后成功getshell拿下服务器，但是有宝塔。。。提了半天权没成功，好多命令无法执行。

师傅们太牛了。。等我连上去，已经拿下源码什么的了。

提权半天没提上。那就给他删库吧。。。

最近疫情，大家都没钱，谨防电信诈骗啊，朋友们！！！

某医院的实战渗透测试（组合拳）

非法入侵看守所监控系统，牢饭真的有这么香？

2022年Top20黑客工具