【网络安全】记一次简单渗透测试实战

最新推荐文章于 2024-07-04 11:44:30 发布
最新推荐文章于 2024-07-04 11:44:30 发布
阅读量376 收藏 6
点赞数
文章标签: 网络 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzhy666/article/details/129837740
版权
本文记录了一次网络安全渗透测试的过程,包括信息搜集、利用 SQL 注入发现漏洞,通过 CS(Meterpreter)上线并进行提权,最终获取系统最高权限。提权方法包括漏洞利用和 MSF 辅助提权。在后渗透阶段,开启 RDP,连接数据库,并进行了横向移动。渗透测试结束后,强调了合法合规的重要性。
摘要由CSDN通过智能技术生成

声明

此渗透测试后已将所有信息移交警方,请勿用于非法用途。

信息搜集

首先当然是通过fofa进行 bc 网站的后台搜集(搜索语法大家自行探索),获得的 qi 牌 bc 站几乎都是一模一样,估计是分站。随便打开一个看看,是下图

sqlmap 跑一把,发现存在堆叠注入。由于都是分站,因此存在相同漏洞的应该不少。

【一一帮助安全学习,所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

最低0.47元/天 解锁文章
初阶羊
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试学习】—一次自测试渗透实战
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
02-25 3950
本文是作者入门web安全后的第一次完整的授权渗透测试实战,因为最近在总结自己学习与挖掘到的漏洞,无意中翻到了这篇渗透测试报告
网络安全渗透测试、安全服务面试题
07-01
因此,在面试前回顾并梳理自己的项目经历尤为重要,特别是那些成功的攻防案例、渗透测试经验、漏洞挖掘等实战经历,这些都能够为面试加分。 - **复盘准备**:在面试前,建议对参与过的项目进行一次全面的复盘,包括...
一次对BC网站的渗透测试实战
qq_35664104的博客
03-08 2450
一次对bc棋牌网的渗透实战
浅谈渗透测试实战
最新发布
黑战士的博客
07-04 1086
其实,个人感觉一个完整的渗透(从黑客的角度去思考问题)应该是以尽一切可能获取目标的系统或者服务器的最高权限,尽可能的发现足够多的敏感信息。有没有发现,其实我们可以观察到一些很有价值的信息。从上面的信息,我们可以发现这个主站是基于Joomla CMS的,这个其实对我们接下来的渗透很有帮助,我们都知道最近爆出了Joomla的RCE和SQL注入漏洞,那么我们就可以去尝试看看这个站是否修复了这些漏洞。按照上面的思路首先尝试寻找主站的漏洞,通常可通过AWVS或者其他的扫描工具做初步的扫描,看看会不会有可以利用的点。
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 2万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围三、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本三、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
一次对某企业的渗透测试实战
dfdhxb995397的博客
06-25 1772
作者:Vulkey_Chen 前言 本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了突破口。so没有绝对的安全,所谓的安全性其实都是相对的~ 信息踩点 在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。 信息难点: 传输加密: 要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过某产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的...
实战一次简单渗透测试实战
2301_76168381的博客
07-06 643
在进行渗透测试时,首先需要进行的是信息收集,这是一项非常重要的任务。就像孙子兵法所说的:“知己知彼,百战不殆”。因此,我们需要选择目标站点并搜集尽可能多的信息。以下是我们搜集到的信息:
一次渗透测试实战
qq_45434762的博客
11-17 1363
免责声明 本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。 因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与NowSec及分享者无关 0.起因 博主从周一到周五一直在收同一个公司发送的垃圾短信(这从短信链接中的域名可以看出),但是当博主点进网页看的时候,发现这是可以说是一家骗子网站吧。网站所卖的东西...
网络安全 宽字节注入 CMS网站渗透实战 学术交流
12-05
web安全初学者,跟着公开课学习了一段时间,第一次在靶场环境下,边查询边过关,请教了不少人,对blueCMS系统存在的宽字节注入漏洞成功进入后台,找到后台文件编写路径,写入一句话木马,通过蚁剑连接成功后,开始提...
重磅-最新网络安全&渗透测试&HVV等学习资料合集(28份).zip
03-23
重磅,最新网络安全&渗透测试&HVV等学习资料合集,共28份。 360几率大的网络安全面试题(含答案).pdf ATT&CK手册.pdf HaE与Authz的搭配.pdf HW弹药库之红队作战手册.pdf OWASP 移动安全测试指南.pdf OWASP代码审计...
2022年中职组网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
07-06
【标题】"2022年中职组网络安全广东省技能竞赛代码渗透测试flag0072渗透环境"涉及的是网络安全领域中的代码渗透测试,这是在中职教育阶段一项重要的技能竞赛,旨在提升学生的网络安全实战能力。磐云杯是这类竞赛的...
渗透测试实战
weixin_45803006的博客
05-02 1887
下载kali,kali上有很多做渗透测试的驱动,该软件在kali中就有。
渗透测试实战-bulldog
qq_46540840的博客
01-28 5923
环境准备 kali 当成攻击机 bulldog靶机 官网下载地址 Vmware装入即可,成功后是显示这个样子 kali ip 是:192.168.240.128 信息收集 使用nmap List item 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impor
一次网络安全渗透测试实战指南
kali_Ma的博客
10-25 4495
基于一次授权的渗透把一些思路整理一下,本次的重点在以洞打洞原则发现一个小洞顺藤摸瓜发现更多的高危甚至严重问题,像我们日常渗透有这样一步步思路进行收获都不小,当然了运气可以省很大部分时间和心思,一步到位的欧皇也是存在。
西电网络安全攻防大赛渗透测试实战解析
"西电网络安全攻防大赛是针对渗透测试技能的一次竞赛,参赛者需要通过分析和解决一系列网络安全问题来获取答案。题目包括但不限于网页源码解析、Cookie处理、编码解码以及浏览器设置调整等。" 渗透测试网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值