本文的初衷就是分享网络安全知识，若有读者因此做出任何危害网络安全的行为，请后果自负。

题目从最初设计发生了变化，本来想的是单纯的社工题，后来越走越偏，就成了溯源&社工。还有就是一开始的思路是对网站管理员进行社工等操作，后来思考了很久，感觉既然网站管理员的网站都已经被入侵了，是受害者，那倒不如将思路放在网站管理员对黑客进行社工信息收集与溯源一类的操作。

记一次实战过程中由任意文件下载漏洞导致Getshell的案例。

Redis未授权访问漏洞很早之前就有了，在实战中如果遇到还是比较幸运的。比如挖到ssrf漏洞，如果内网有个未授权或者弱口令的redis，那么就可以深入的挖掘一下。