测试网站:http://001.lostcity.com

最新推荐文章于 2024-01-05 17:34:04 发布
最新推荐文章于 2024-01-05 17:34:04 发布
阅读量908 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liuhuaijin/article/details/77897143
版权

测试网站:http://001.lostcity.com

1、sql注入

寻找注入点,并用工具渗透,找到admin用户和密码


2、扫描后台,找到后台登陆地址,起始地址:http://001.lostcity.com

用御剑扫描



3、用1、2扫描到的密码及地址,登陆后台



4、进入后台,发现上传文件的地方,尝试上传一句话木马,但上传失败





5、发现是编辑器是ewebeditor,尝试ewebeditor漏洞

右键查看源码,发现ewebeditor的路径




6、用御剑扫面ewebeditor后台登陆路径

起始地址:http://001.lostcity.com/admin/components/ewebeditor/





7、尝试ewebeditor默认数据库路劲



8、用工具打开数据库文件,导出需要的密码,并用MD5解密




9、用8解密的密码登陆ewebeditor后台


10、更改样式,若添加样式不成功,则拷贝原有样式进行添加


11.点击预览,进入上传图片界面,上传本地一句话木马

12.点击代码按钮,获取上传木马路径


13.使用中国菜单连接木马









玄瞋
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
13个测试网站访问速度的服务网站
狼群
08-17 1587
Pingdom:http://tools.pingdom.com/ 非常专业的网页测速服务,可对该网页中众多元素一一测速,清楚地看到是哪些托了你的后腿。提供该网页速度的综合测评分析,看看会对你博客的设计有些启发。Websiteoptimization:http://www.websiteoptimization.com/services/analyze/]功能十分强大的网站速度测试服务,可
社工必备查询网址汇总
尐·楍┓博客
02-21 1万+
社工必备查询网址汇总 一、查企业查信用 1、信用中国 查询内容:工商注册企业和个人、行政许可和处罚 网址:http://www.creditchina.gov.cn/  2、全国企业信用信息公示 查询内容:全国企业工商登记注册信息 http://gsxt.saic.gov.cn/(导航) http://gsxt.saic.gov.cn/zjg
单点登录测试网址url
zhuqwertadf的博客
01-04 833
http://localhost:9000/sso/oauth/token?username=admin&password=123456&client_id=gateway-client&client_secret=123456&grant_type=password
LostCity-Server:Minecraft LostCity服务器源代码-Source City
03-25
LostCity-Server-Resources 这是资源代码。 您可以使用和更改它。(必须使用MIT许可证!)如果要使用它。 您需要知道什么是Minecraft服务器。 将来,我将为您添加一个Wiki。
轻松查询手机号或邮箱注册过的网站
ken4343的博客
03-23 2万+
推荐个实用的网站http://www.zhaohuini.com/,通过邮箱或手机号码或昵称就可以轻松查询你注册过的网站
http搭建静态网页测试
qq_44829421的博客
11-13 429
在Linux中搭建http静态网页
查询手机或邮箱在哪些网站注册过
ken4343的博客
03-22 2124
忘记了自己的邮箱或手机号曾经注册过哪些网站,怎么办?推荐个实用的网站http://www.zhaohuini.com/,通过邮箱或手机号码或昵称就可以轻松查询你注册过的网站
几个好用的测试HTTP请求的网站
Arthur Guo 的专栏
10-01 6565
几个好用的测试HTTP请求的网站
httpbin:测试 HTTP 请求及响应的网站
雨影的博客
02-22 1万+
httpbin这个网站测试 HTTP 请求和响应的各种信息,比如 cookie、ip、headers 和登录验证等,且支持 GET、POST 等多种方法,对 web 开发和测试很有帮助。它用 Python + Flask 编写,是一个开源项目。 官方网站http://httpbin.org/开源地址:https://github.com/Runscope/httpbin
推荐几个免费的HTTP接口Mock网站和工具
最新发布
01-05 3102
JSONPlaceholder是一个提供免费的在线RESTAPI的网站,我们在开发时可以使用它提供的url地址测试下网络请求以及请求参数。当我们程序需要获取一些假数据、假图片或者mock数据接口时可以使用它。其返回的数据为JSON格式,且同时支持HTTPHTTPS这两种请求类型,支持跨域,如 CORS 和 JSONP,支持GET、POST、PUT、PATCH、DELETE几个请求方法。
几个学习软件测试网站
tanguiqin的专栏
12-09 1535
<br />几个测试网站,可以参考学习下:<br /> 51Testing软件测试网  http://www.51testing.com<br />CSDN——软件测试频道  testing.csdn.net<br />希赛网——软件测试频道  testing.csai.cn<br />中国软件测试联盟  www.iceshi.com<br />一起测试http://www.17testing.com<br />北大测试  http://www.btesting.com<br />中国软件测试基地 ht
http测试工具:httpbin
sanfye的专栏
09-29 1万+
httpbin 是一个使用 Python + Flask 编写的 HTTP HTTP Request & Response Service。该服务主要用于测试 HTTP 库。 你可以向他发送请求,然后他会按照指定的规则将你的请求返回。这个类似于echo服务器,但是功能又比它要更强大一些。 httpbin支持HTTP/HTTPS,支持所有的HTTP动词,能模拟302跳转乃至302跳转的次数...
web基础_$POST 在线http接口测试网址
qq_39368007的博客
06-08 6303
发现是post传参,复制网址使用在线http接口测试 (https://www.sojson.com/httpRequest/) ,输入URL,然后输入参数名:what,参数值flag,即可得出flag
python攻击脚本实例-一键黑客工具:一个Python脚本搞定所有攻击操作
weixin_39745724的博客
11-11 3259
近期出现了可综合利用Shodan设备搜索引擎和Metasploit渗透测试工具的Python代码。该代码会用Shodan.io自动搜索有漏洞的在线设备,随后使用Metasploit的漏洞利用数据库劫持计算机和其他在线设备。只需点击运行,该脚本就会爬取互联网,寻找可以攻击的脆弱主机(通常是因为没打补丁),并自动取得对这些主机的控制权。完全无需什么高端的黑客技术。本文福利:私信回复【PDF】可获取Py...
python编写arp攻击与欺骗脚本
dhdichch的博客
05-29 2854
目录 1.arp欺骗 2.arp欺骗实验 2.1 构造arp包 2.2 发送数据包 2.3 查看路由表 3.完善arp欺骗过程 4. 编写arp欺骗脚本 1.arp欺骗 arp欺骗是数据链路层的攻击,在数据链路层是通过mac地址来发送报文的,所以需要将网络层的ip对应到mac地址,由于arp协议是基于局域网内主机互相信任的基础上的,如果我们构造并发送了一个arp欺骗包,就可以实现arp欺骗。 2.arp欺骗实验 攻击者:kali,192.168.20.128,29:...
在线HTTP接口测试 - HTTP GET/POST模拟请求测试工具
热门推荐
Coding 改变世界
03-25 2万+
最近发现一个超好用的“在线HTTP接口测试 - HTTP GET/POST模拟请求测试工具”。 链接在此奉上:在线HTTP接口测试 - HTTP GET/POST模拟请求测试工具 很好的一点就是我们只要QQ登录后,就可以记住请求地址,包括请求参数,包括请求cookie,header信息,都保存了,这个功能大赞。 还有实现源码都开放了:Java 实现在线
请求响应参数说明
aaaaaaaa123321222的博客
01-02 2988
Requests Header | Http Header Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5
在线HTTP POST/GET接口测试 地址
jeffasd的专栏
03-12 1万+
在线测试地址:哈哈哈 http://www.atool.org/httptest.php
找回手机号、邮箱注册过的网站
Zhaohuini的博客
04-13 6771
       你是否曾用同一个手机、邮箱或者昵称注册过很多网站,连自己都忘记注册过哪些。现在找回你可以帮你找回注册过的网站。找回你以帮助用户找回注册网站为使命,致力以更优秀的体验来为用户带来最大的价值。       你只需进入找回你网站,在搜索框输入需要查询的手机号,然后点击搜索即可…… 方便又安全 ...
找回那些年,你手机号注册过的网站
Zhaohuini的博客
09-20 2万+
     信息时代的到来,人们不再像以前一样守在电视前,通过电视来获取信息的时代了。更多地是通过电脑,智能手机,平板等获取……那么在利用这些科技在上面与人互动时,就必须注册或绑定成为它的会员。而注册会员,就必须要用到我们的手机号或者再不济也需要输入我们的邮箱。那么时间长了,当你不用某个网站了,你是否还会想起自己的手机号都在那些网站注册绑定过呢?      "找回你"一个找回你手机号、邮箱在哪些网...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值