web-网站被黑

最新推荐文章于 2022-10-26 18:06:57 发布
最新推荐文章于 2022-10-26 18:06:57 发布
阅读量474 收藏
点赞数
分类专栏: 做题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIGENGKING/article/details/104975562
版权
本文探讨了一种网站被黑的情况,通过分析黑页链接判断为PHP包含漏洞。提到了利用zip或phar协议绕过后缀限制的方法,并介绍了如何使用御剑后台扫描器发现潜在的webshell。在尝试弱口令失败后,利用burpsuite进行字典爆破成功获取到密码和flag。
摘要由CSDN通过智能技术生成

 

解题思路:打开链接是一个黑页,链接后面加index.php判断是PHP

解析:满足一些条件不会退出的参考漏洞:建站之星 Sitestar 前台 Getshell 一枚包含漏洞1.本地文件包含很多都限制了包含的后缀结尾必须为.php,例如,需要截断后面的截取字符判断是不是 .php用 zip (或者 phar )协议绕过首先新建一个 1.php,里面 phpinfo,然后压缩成 .zip,然后把 zip 的名字改成 yu.jpg,然后把这个 .jpg 上传上去,然后包含Example:http://localhost/php/include.php?include_file=zip://C:\wamp\www.php\1.jpg%231.php`00 截断长文件名截断转换字符集造成的截断伪协议包含日志,环境变量

1,接着用御剑后台扫描器扫描:会发现有一个“http://123.206.87.240:8002/webshell/shell.php”接着打开链接;

 

2,点开后:弱口令常用密码

最低0.47元/天 解锁文章
Web安全学习笔记-Web-Sec Documentation
01-30
Web安全学习笔记——Web-Sec Documentation是一份详细的知识库,旨在帮助读者理解并掌握Web安全相关的理论和技术。文档首先从Web技术的演化、网络攻防技术的发展以及网络安全观的演变三个方面进行阐述,让读者对Web...
write up web:网站
tb_youth的博客
11-22 218
题目说明的很清楚要这个网站,所以就要找这个网站的后面 我的第一反应是在网址http://123.206.87.240:8002/webshell/后+index.php或index.html看看能不能响应成功,很成功: 这个网站下有目录文件。 但是不知道具体有哪些。 所以还是直接上扫描工具:御剑 直接访问:http://123.206.87.240:8002/webshell/shell....
织梦index.php,织梦网站的解决流程
weixin_39778393的博客
03-28 3202
织梦网站安全问题一直以来都是令人堪忧的,不过毕竟是开源程序,可以理解。这不最近有一位同学的站点就“中招”了,下面阿南就把处理的流程记录下来,希望对站长们有帮助。首先打开站点首页,我们可以看到,标题已经被篡改。接着查看网页源代码,真的是不看不知道,一看吓一跳,整个都是恶意代码。以上这种情况应该不是单纯的在头部或底部模板植入恶意代码了,我们可以看到,现在整个网页源代码全是恶意代码,这种情况我们一定要去...
uploadify.php 漏洞,建站之星 (SiteStar) v2.0 漏洞大全,上传、注入、任意文件包含(转 )...
weixin_39709979的博客
03-17 414
原文http://lcx.cc/?i=2324前两天拿个站,系统是:建站之星 (SiteStar)v2.0,自己看了看,又综合了网上的各种漏洞,整理了一份漏洞大全,这套程序浑身都是窟窿,无语中……记录时间:2012-3-10 14:24:43By: Nuclear'Atk, Url: Http://lcx.cc/程序名称:建站之星 (SiteStar) v2.0建站之星 SiteStar 网站管理...
建站之星php 漏洞,建站之星模糊测试实战之任意文件上传漏洞
weixin_39830012的博客
04-04 291
0x00 Sitestar美橙互联又一力作,建站之星专业版(Sitestar Pro),无拘无束,信手拈来,创意无限,不拘一格,轻松创建属于您自己的网站!0x01 漏洞的产生/module/mod_tool.php 第89行起,img_create()函数[php]public function img_create() {$file_info =& ParamHolder::get('i...
Bugku-CTF (web 持续更新) ——新手ctf记录
xy7850的博客
09-22 2443
目录 1、滑稽 2、计算器 3、GET 4、POST GET和POST的区别: 5、矛盾 6、alert 7、你必须让他停下 1、滑稽 进入场景,发现一堆滑稽表情在飞 直接F12 2、计算器 进入场景,一道数学题,但是只能输入一个数字 F12,可以看到输入框的标签的maxlenth=1 改成2,就可以输入两个数字了,验证就得到了flag 3、GET 进入场景看到php源码,以get请求传入what=flag get,通过拼接url进行传递参
web-twain-docs
03-18
Web TWAIN 文档库详解】 Web TWAIN 是一款强大的基于浏览器的图像扫描和处理解决方案,专为在 Web 应用程序中实现扫描、编辑、上传和管理图像而设计。这款技术利用 HTML5 技术,允许用户在任何支持 HTML5 的...
Web-查询引擎代码.doc
11-29
Web-查询引擎代码.doc
web前端网站源码:色业务发展项目网页-HTML源码.zip
最新发布
09-04
探索未来设计的数字前沿,这份精心设计的“web前端网站源码”无疑是您不可错过的创意宝藏。它巧妙融合了现代网页设计的灵动,打造出一个既展现专业实力又兼顾用户体验的在线空间。 该源码采用了最前沿的HTML5、CSS3...
WEB-服务器硬件配置方案.doc
11-30
WEB-服务器硬件配置方案.doc
建站之星SiteStar 2.7 build 140505
04-30
美橙建站之星前后历经三年时间进行开发,该系统能让用户在短时间内迅速架设属于自己公司的企业网站。自助建站系统易学易懂,用户只需会上网、不需学习编程及任何语言,只要使用该智能建站系统平台,只要会打字,即可在线直接完成网站建站所有工作。 建站之星SiteStar 2.7 build 140505 更新日志: 1、修复用户从产品购买入口到用户注册页面时,没有自定义会员注册项表单. 2、修复站点背景设置>>背景对齐,选择下一个状态,前一个状态的结果无法消失. 3、修复不存在页面或路径不能定向. 4、更改支付宝跳转方式. 5、修复用户站内短信无法查看. 6、修复自定义模块下,自定义页面内容分页无效. 7、修复自定义模式下,系统默认自定义页面,不能预览,不能分页.. 8、修复自定义模式下,用户设置自定义文章页面报错. 9、修复自定义模式下,文章、产品详情页不显示设置的SEO内容. 10、修复自定义模式下购物车模块链接错误. 11、修复首页加载文章和产品模块出现access violation error. 12、修复产品详情页-点击加入购物车-点击现在订购跳转到了空白页面,提示:access violation error! 13、修复默认模板搜索表单样式错位. 14、修复文件管理器中重命名漏洞. 15、修复公告模块,滚动不正常. 16、修复登录后,不能获取购物车在未登录前产品信息. 17、修复flash幻灯显示模块上传图片路径不正确. 18、修复上传安全漏洞. 19、修复用户信息漏洞. 20、修复安装程序Getshell漏洞. 21、修复本地包含,邮件发送注入,用户注册过滤漏洞. 22、修复安装程序初始安装报错. 23、修复加入购物车再注册会员或登录会员后提交订单提示:非法id. 运行系统环境要求: 推荐配置: Linux + Apache + Mysql + PHP 操作系统: Linux (支持Unix/FreeBSD/Solaris/Windows NT(2000/2003)等操作系统) WEB服务器: Apache (支持httpd, Zeus, IIS 等WEB服务器) 数据库: Mysql (5.0 或者更高版本) 程序支持: PHP 5.0及以上版本 (推荐使用5.2系列最新版本) 建站之星优点: 建站时间短 手工建站:耗时较长至少半个月至一个月以上 建站之星:建站时间非常短仅需两三天,全程自己操作。 改版方便 手工建站:手工建站若要改版还需向建站公司缴纳改版费用。 建站之星:智能建站赠送多套模板,要改版仅需点下鼠标即可完成,无需任何费用。 建站快捷 手工建站:需要美工设计,上传源代码等繁杂操作。 建站之星:在线购买,实时开通,免费赠送3级域名,只要短短2步设置,就能实现在线访问。 节省费用 手工建站:建站至少需要2000元以上 建站之星:仅需几百元,轻松建站。
页各种源码
04-20
8个常用的页附带源码
Bugku CTF Web 网站
网安小趴菜
10-20 903
Bugku CTF Web 网站
网站
heyingcheng的博客
10-26 2082
目录一,补充知识1,客攻击的步骤与防范(1)网络本身存在的安全缺陷(2)客攻击的步骤(3)客攻击的方法(4)客攻击的防范(被攻击前怎么做)2,客常见攻击与防护方法(1)常见攻击方法(2)客攻击的防范(被攻击后怎么办)3,web后门详解(泛指webshell)二,解题过程1,推断网站使用的后台语言2,扫描客留下的后台地址3,暴力破解,bp抓包4,补充(1)如何判断网站后端使用的语言?(2)如何从github上下载文件?1,开放性的网络环境;(显而易见不用多解释)2,协议本身的缺陷:网络应用层服务
BugkuWeb题目解析
北观止的博客
07-31 1万+
BugkuWeb 1.web2 解析: 源码中有注释 答案: KEY{Web-2-bugKssNNikls9100} 2、计算器 题目出现了一个很简单的验证码,只要输入正确就可以获得flag,但是尝试后发现题目的输入框只能输入一个数字, 果断审查元素,发现了输入框的最大长度被设置成了1,于是修改输入框的maxlength属性为5 输入结果就可以了 来自 https://www.cnblogs.com/kele1997/p/7595839.html flag{CTF-bugku-0032} 3.Web基础$
WEB所有题目-BugkuCTF平台
~airrudder~
03-23 5693
1、web2 这题查看源代码即可,在url前加上 view-source: 。或者按F12也行。 2、计算器 这个输入框只能输入一位数字,把它改大即可。任何的前端限制都是不安全的。按F12, 用选区器选取文本框,在maxlength那个把1改大,然后就能正常输入了。 3、web基础$_GET ?参数=值。多个参数用 ?参数1=值1&参数2=值2。 payload:http://12...
WEB_网站
weixin_30244681的博客
02-09 280
题目链接:http://123.206.87.240:8002/webshell/ 题解: 进入题目,炫酷的界面 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。 御剑软件下载地址:https://pan.baidu.com/s/1YUDI2d8aOsqL80XXeQYhGA 扫一下得到后台页面 在URL中输入shell.php得到如...
php网站,如何掉一个网站
weixin_36298146的博客
03-10 2632
首先,观察指定网站。入侵指定网站是需要条件的:要先观察这个网站是动态还是静态的。首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站点如果是静态的(.htm或html),一般是不会成功的。如果要入侵的目标网站是动态的,就可以利用动态网站的漏洞进行入侵。Quote:以下是入侵网站常用方法:1.上传漏洞如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆...
Bugku-网站
热门推荐
小水池
08-10 6万+
网站 http://120.24.86.145:8002/webshell/ 这个题没技术含量但是实战中经常遇到 解题思路: 打开链接是一个页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧  扫描出shell.php,打开链接是一个webshell,尝试admin等弱密码无效后  开burp进行爆破,这里选择Simple l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值