简单的渗透测试实战过程

最新推荐文章于 2024-02-28 10:21:11 发布
最新推荐文章于 2024-02-28 10:21:11 发布
阅读量2.1k 收藏 14
点赞数 4
分类专栏: 渗透测试 文章标签: sql 数据库 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddchggf/article/details/126077835
版权

在某天平台的挖洞实战,习惯先用AWVS扫一波,自己手工再去挖,

AWVS还是很给力,扫出了几个注入点

sqlmap

 看到两个参数都有注入点,任选一个,选择站点语言,看到获取到os-shell ,发现无法执行命令,选择另一种方法sql-shell

查看到某后台的登录管理员用户名

通过sql-shell 上传木马文件,拿到shell。

san1one
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
渗透测试学习】—记录一次自测试渗透实战
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
02-25 3960
本文是作者入门web安全后的第一次完整的授权渗透测试实战,因为最近在总结自己学习与挖掘到的漏洞,无意中翻到了这篇渗透测试报告
记一次想尽各种方法的渗透测试实战
03-10 1598
前言 本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了突破口。 so没有绝对的安全,所谓的安全性其实都是相对的~ 信息踩点 在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。 信息难点 传输加密: 要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过某产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的密文~ 分析难点 分析: 信息踩点其实也是解决难点的过程,在这里我们尝试对APP进行逆向,发现并没有什么东西,因为被加固了。...
渗透测试实战 - 外网渗透内网穿透(超详细)
HAKUNAMATATATTA的博客
02-18 7481
渗透测试实验,外网渗透和内网穿透的详细操作过程以及内网代理和内网探测的方法
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 2万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围三、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本三、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
Web渗透测试实战——(1)Web渗透测试简介
fly_enum的博客
07-03 2126
渗透测试(penetration testing)是对计算机系统的一种授权攻击,旨在评估系统/网络的安全性,执行测试以识别漏洞及其带来的风险。一般而言,渗透测试过程分为五个阶段:包括识别目标系统、检测存在的漏洞以及每个漏洞的可利用性。渗透测试的目标是找到尽可能多的漏洞,并交付客户可以接受的通用格式报告。
渗透测试实战-BurpSuite 使用入门
似水流年的博客
12-14 2329
近期笔者在学习 web 渗透测试的相关内容,主要是为了公司之后的安全产品服务。渗透测试本身在学习过程中还是很有意思的,有一种学习到了之前想学但是没学的黑客技术的感觉,并且对笔者已掌握的许多知识做了有益的补充。要学习渗透测试,首先需要明白什么是渗透测试,以及如何进行渗透测试,这其中很多资料可以在网上找到。渗透测试是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估。渗透测试人员使用与攻击者相同的工具、技术和流程,来查找和展示系统弱点对业务带来的影响。渗透测试通常会模拟各种可能威胁您业务的攻击。
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 1万+
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
渗透简单测试流程
qq_43068990的博客
12-09 913
渗透简单测试流程 0.授权(人为授权) 1.信息收集 nslookup whois 2.扫描漏洞 nmap 扫IP范围 端口 高级扫描:如IIS漏洞2003-IIS6.0 扫描中间件漏洞 扫描网站漏洞 3.漏洞利用 4.提权(shell环境,最高权限) 5.清除数据 6.留后门 实验 win2003:服务器 设置VM2,IP:10.1.1.2/24 winxp:客户机 设置VM2,IP:10.1.1.1/24 1.ping验证是否可以通信。 2.使用xp攻击服务器的445端口(445漏洞利用之一IPC$:)
渗透测试入门
11-11
### 渗透测试入门 #### 一、渗透测试概述 **渗透测试**(Penetration Testing, 简称 Pen Test 或 Pentest)是一种模拟攻击的方法,旨在评估计算机系统、网络和Web应用的安全性。通过模拟黑客可能采取的手段,对目标...
客户端应用安全测试实战.pdf
08-18
在“客户端应用安全测试实战”中,我们将深入探讨如何进行有效的渗透测试,以确保客户端应用的安全。 首先,我们提到Python代码审计教学,这是安全测试过程中的一个关键环节。Python是一种广泛用于开发各种应用,...
KaliLinux渗透测试实战2.1DNS信息收集参考.pdf
11-13
"KaliLinux渗透测试实战2.1DNS信息收集参考" 本章主要目标是从各个角度搜集测试目标的基本信息,包括搜集信息的途径、各种工具的使用方法,以及简单的示例。按照循序渐进的原则,第一节讲解如何搜集DNS 信息。 一...
SQLMAP使用实战测试
06-12
通过以上实战案例,我们可以看到SQLMap的强大功能及其在渗透测试中的重要作用。合理利用SQLMap可以高效地发现并利用Web应用程序中的SQL注入漏洞,帮助提高系统的安全性。同时,我们也需要注意在进行渗透测试时的合规...
【入狱率99%】非常“刑“又可”拷“~的全栈安全测试渗透测试(burpsuite+appscan实战)【一】
测试逍遥子的博客
03-28 1784
【入狱率99%】非常"刑"又可”拷“~的全栈安全测试渗透测试(burpsuite+appscan实战
Web渗透测试-实战 方法 思路 总结
Python栈
10-19 319
天眼查是一款“都能用的商业安全工具”,根据用户的不同需求,实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索。通过以上不同种类的搜索引擎我们可以获得相当多的有用的信息,甚至平时搜索东西我们也可以通过zoomeye来找到自己想要的东西。ZoomEye是一款针对网络空间的搜索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。并不是所有的格式都会支持,现在百度支持的格式有pdf、doc、xls、all、ppt、rtf,
渗透测试怎么做?来看看白帽大神一次完整的渗透测试实战
myh919的博客
07-12 307
我们现在就模拟黑客对一个网站进行渗透测试,这属于黑盒测试,我们只知道该网站的URL,其他什么的信息都不知道。渗透测试就是利用我们所掌握的渗透知识,对网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。利用工具查看浏览器保存的密码,从该主机上找到的账号密码,我们可以做一个字典,在对内网其他机器进行爆破的时候,很有可能是同密码。在拿到目标主机的权限后,很有可能当时我们并不能获取到想要的东西,需要进行长期的潜伏,特别是在内网渗透中,需要进行长期的信息收集。
实战 |记一次简单渗透测试实战
2301_76168381的博客
07-06 648
在进行渗透测试时,首先需要进行的是信息收集,这是一项非常重要的任务。就像孙子兵法所说的:“知己知彼,百战不殆”。因此,我们需要选择目标站点并搜集尽可能多的信息。以下是我们搜集到的信息:
渗透测试实战-bulldog
qq_46540840的博客
01-28 5930
环境准备 kali 当成攻击机 bulldog靶机 官网下载地址 Vmware装入即可,成功后是显示这个样子 kali ip 是:192.168.240.128 信息收集 使用nmap List item 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impor
【渗透实战】记一次针对某高校的渗透测试
最新发布
youmaob的博客
02-28 1401
【渗透实战】记一次针对某高校的渗透测试
testfife.net实战渗透测试:发现Windows Apache Tomcat漏洞
在"实战测试实验testfife.net .pdf"这份文档中,主要介绍了对www.testfire.net网站进行渗透测试过程和发现的漏洞。这次测试的目标是通过有针对性的渗透测试来识别网站的安全漏洞,提升个人的渗透技术能力。测试...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值