渗透测试某高校全程纪录

最新推荐文章于 2023-06-03 21:40:18 发布
最新推荐文章于 2023-06-03 21:40:18 发布
阅读量777 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: 测试 破解 数据库 cms asp 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerworld/article/details/4224052
版权

5.28

浏览该网站发现是ASP的,先随便找了个链接测试是否存在注入----------失败

于是又通过其他方式进行注入,均以失败告终.看来网站对注入进行了严格过滤(注入漏洞以失败告终)

5.29

用httpdebug发现该网站存在个src=/eweb/..,难道???嘿嘿,直接打入

 

http://www.xxxxxx.com/admin/eweb/admin_login.asp

这就好办了,直接尝试默认用户名和密码,admin.admin88,郁闷的是看来密码和用户被修改

直接下载数据库,MD5破解,用户名leixun,密码不能发现

晕倒。。。。。

 

5.30

下载数据库后,一直破解不了OA用户密码,今天发现了OA系统类型,也算有点进步,正在下载OA系统,测试结果明天发布.

 

6.01

研究发现该OA类型,发现该OA系统加密方式为DES。不好破解阿.

 

6.2

发现系统CMS似乎和雷迅由关,难道是雷迅帮建的?

 

 

 

 

hackerworld
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试全过程记录
12-04
我先感慨一下,在做网络安全这些年感觉一直在漂,从05年刚到北京的远东到08年的大连,再到11年的启明,没有一个地方能让人感到是在踏实的做安全,对网络安全人才这块也都不重视。从圈内群的好友里得知,有很多技术水平很不错的朋友都闲置在家,为什么?我感觉国内的大环境都是这样的,所以出现了2011年底的各大网站密码泄露事件。我认为,泄露的那些库也只是九牛之一毛。在这个拿网络安全人才当民工的时代,也许这个事件算是给那些高傲的、高薪的程序员上的一堂课吧。
记录一次渗透测试全过程
weixin_30730151的博客
12-18 595
一、信息收集:   1、巡风扫漏洞看到一个80端口开放,上去看一看,任意文件上传。   2、巡风扫漏洞还看到一个phpmyadmin弱口令,版本很老。 二、任意文件上传:   1、上传php文件:  <?php @system($_GET("cmd")) ?> /* 合理合法过程要接受检查,不然还是传post,默认不记日志 上传路径在下载页面可以爆出...
渗透测试公司工作经验记录分享
网站安全专家
04-25 1791
伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点,我下定决心要为自己换一份工作——到更加全方位的服务平台去学习大量的东西,提高自己的实际价值。饱经探寻,一家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安...
渗透测试记录
denghan9435的博客
03-16 172
ps aux 查看当前进程 service postgresql start 没回显是正常的,没报错说明启动成功 win8.1企业版 64位下 无法上传文件到c盘根目录 d盘根目录可以 转载于:https://www.cnblogs.com/kinome/p/8581645.html...
安全测试渗透测试区别
03-23
安全测试渗透测试区别.安全测试不同于渗透测试渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自...
渗透测试授权书》.doc
12-09
渗透测试授权书》是甲乙双方在进行渗透测试前签订的重要法律文件,它规定了双方在测试过程中的权利和责任,确保测试的合法性和安全性。渗透测试是一种模拟黑客攻击的技术手段,用于评估计算机网络、系统和应用程序...
Web安全服务渗透测试模板.docx
10-30
Web安全服务渗透测试模板 Web安全服务渗透测试模板是一个实用的渗透测试报告模板,旨在帮助企业和个人对Web应用程序和系统进行渗透测试,以检测和评估其安全性。该模板提供了一个结构化的框架,指导测试人员按照...
内网安全攻防渗透测试实战指南.pptx
07-01
内网安全攻防渗透测试实战指南 内网安全攻防渗透测试实战指南是指在内网中进行的渗透测试实战指南,旨在帮助安全人员和渗透测试人员更好地理解内网安全攻防的原理和方法。 内网安全攻防渗透测试实战指南主要包含...
【可参考】渗透测试方案.docx
04-15
某公司渗透测试方案,可以参考借鉴。
渗透测试报告记录
qq_47053702的博客
04-10 694
前往GITHUB官网获取最新新版https://github.com/alibaba/nacos。1)取消根目录的写权限:#chown root ~ftp && chmod 0555 ~ftp。2)如果您并不需要提供匿名FTP服务,禁止匿名FTP服务。1)如果SSH服务不是必须的,建议停止此服务。2)修改用户口令,设置足够强度的口令。(三) 用电采集系统大数据平台。(二) 电力交易测试系统。
渗透测试过程中文档的记录
zdzzdz123123的博客
02-08 480
在一次团队渗透测试过程中,每个人都有各自的分工,同时需要对各自得到的日志文件进行保存和分享 1.dradis 这是一个基于web的工具 使用前需要开启服务 随后进入这个页面 使用时不需要账号,但要输入一个用户名(登录时随便输入),用来对团队人员进行标识,因为渗透测试发生在短期,如果还需要维护一个成员的账号密码,就显得过于繁琐 之后可以在里面上传文件 任务分工 构建自己任务思路框架 将收集到的信...
初识渗透测试(记录篇)
公众号:【伤心的辣条】
11-11 2848
另外,欢迎加入软件测试技术交流群 313782132 ~进群可领取免费软件测试资料以及群内测试大牛解惑! 测试工程师职业发展路线图 功能测试 — 接口测试 — 自动化测试测试开发 — 测试架构师 加油吧,测试人!如果你需要提升规划,那就行动吧,在路上总比在起点观望的要好。事必有法,然后有成。 资源不错就给个推荐吧~ ...
工作记录——渗透测试
qq_43638123的博客
06-13 2595
实习已经一个月了,对接触的一些渗透测试项目做一下记录,同时也是希望看到的大佬们对我的不足提出意见。 项目一:公安局项目 外网 B/S架构 web端渗透 这是awvs的扫描截图 漏洞名称 数据明文传输 风险等级 中风险 渗透过程 在登录时进行抓包,发现用户名和密码以明文的形式进行传输。如下图所示: 漏洞危害 明文传输一般存在于web网站登录页面,密码明文传输容易被嗅探软件截取破解。 修复建议 建议按照网站的加密等级要求,需要对密码传输过程中进行加密传输。如采取MD5加验或SM1、S
某平台的一次简单渗透测试记录
HBohan的博客
11-17 2447
目标 某平台系统(www.target.net) 流程 本次渗透测试的流程图: 【技术资料】 测试 拿到站点后先做信息收集,扫描目录看看有无敏感信息 寥寥无几,没有任何信息,启动burpsuite打开网站走一遍流程。 在创建目标处存在图片上传接口,上传shell试试。 没有任何过滤,可直接上传,但当前目录不解析,猜测projectKey控制上传路径 可跨目录上传,但当前/webapp/test/uploadFile/路径非网站根目录,爆破了常见网站目录但没有一个是正确的解析shell的,先放
记录一次linux内网完整渗透测试
NZXHJ的博客
07-18 3506
记录一次完整系统的linux内网渗透测试
渗透测试笔记汇总
weixin_38168081的博客
07-21 628
【 拿shell 】1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就利用IIS6.0解析漏洞":1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls2.上传图片木马遇到拦截系统,连图片木马都上传不了,记事本打开图片木马在代码最前面加上gif89a,一般就能逃过拦截系统了。3.上传图片木马把地址复制到数据库...
记录一次渗透测试艰难打点的过程
include_voidmain的博客
06-07 1509
记录一次渗透测试艰难打点的过程
对于某高校网站的渗透测试
最新发布
rumil的博客
06-03 2049
根据分析源码,该压缩包上传会被解压,解压后,文件夹会被拆开,然后拼接成文件,拼接的文件为文件夹(XX_Html)名中的XX+文件原来的名称。执行删除的操作,观察url信息变化,抓包抓取数据信息,修改数据包,尝试sql注入。在后台的学生管理,成绩管理,教师管理,文章管理等多处,存在xss跨站脚本攻击。接下来到文件上传点,鼠标右键点击检查,查看代码,找到文件的上传点,访问试试。通过爆破的目录,我们可以发现,目录下有一个压缩包,我们尝试下载。上传文件,验证是否能被解析,写入一个木马,直接进行连接。
OWASP测试指南:WEB应用渗透测试详解
本资源是一份关于WEB安全测试的综合指南,主要关注WEB应用的渗透测试,由OWASP(开放式Web应用程序安全项目)提供,并得到了杭州安恒信息技术有限公司和微软中国有限公司的支持。OWASP是一个全球性的非营利组织,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值