一、背景 偶然碰到一个小站存在st2-046代码远程执行漏洞，心里美滋滋。 执行whoami查看自己是什么权限  已经是root了，就尝试上传一个webshell  但是却提示上传失败，页面不存在 上传txt显示成功 经过测试，服务器装有一些防火墙之类的东西或者是安全策略，只要上传的文件里包含可执行代码就上传失败 但是转念一想我为什么非要传webshell，传上去之后不还是要提权，弄到他的ssh权限。 于是冷静思考了一下目前的形势: ...