WEB扫描工具Acunetix web vulnerality scanner
利用web地址里的id参数进行sql注入,得到管理员账户和密码。利用明小子软件,遍历网站目录,得到网站后台管理入口,输入用户名密码成功登录后台。
利用前台上传头像功能,上传木马图片(asp图片木马生成器可以把小图片加上木马),利用数据库备份功能,把木马图片备份到指定文件目录下变成木马文件,执行木马文件。
用菜刀连接上传马。拿到shell。
利用fpipe.exe端口转向工具使用FTP创建管理员账户,创建OS账户,利用3389端口登录服务器,拿到肉鸡。
使用Burpsuite弱口令爆破软件结合社工爆破密码生成器可以破解网站弱密码。
sqlmap自动化注入攻击,sqlmap它由python语言开发而成,因此运行需要安装python环境。
kali