记录第一次web渗透测试篇

最新推荐文章于 2024-07-22 12:01:57 发布
最新推荐文章于 2024-07-22 12:01:57 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: 渗透测试 文章标签: web安全 安全 渗透测试 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47421272/article/details/122356334
版权
本文记录了作者学习web渗透两个月后的首次实战经历。通过弱口令进入网站后台,寻找并上传webshell,但由于后缀过滤失败。随后使用dirb工具扫描发现敏感目录,成功连接到开启的SSH和MySQL服务,最终以root权限控制了服务器。
摘要由CSDN通过智能技术生成

**

刚学web渗透2个月 第一次实战。

**

渗透利用的工具:
1.dirb
2.nmap

开始

朋友发给我一个链接,点进去看是一个后台
在这里插入图片描述
尝试弱口令登录.(user:admin pass:admin)
非常幸运,登录进了后台。

在这里插入图片描述
找上传点上传webshell。

在这里插入图片描述
这里上传没有格式限制。
在这里插入图片描述
上传webshell。可以上传成功。
在这里插入图片描述
右键复制链接地址。 使用weevely连接。

最低0.47元/天 解锁文章
天满唯一
关注
专栏目录
渗透测试学习】—记录一次自测试渗透实战
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
02-25 4072
本文是作者入门web安全后的第一次完整的授权渗透测试实战,因为最近在总结自己学习与挖掘到的漏洞,无意中翻到了这渗透测试报告
第3Web日志分析.pdf
04-22
- **案例1**:假设网站遭受了一次DDoS攻击。 - **步骤1**:确定攻击发生的具体时间段。 - **步骤2**:使用`grep`过滤出该时间段内的所有请求。 - **步骤3**:利用`awk`统计攻击源IP。 - **案例2**:发现网站存在...
WEB渗透实战
m0_57929980的博客
06-25 8640
WEB渗透实战:介绍文件上传漏洞、跨站脚本攻击、SQL注入漏洞、文件包含漏洞、反序列化漏洞原理及利用
一次渗透测试实战记录
最新发布
Locosomnus的博客
07-22 758
记录一下,只是记录一下
实战渗透--一次对后台登录系统的简单渗透测试
tzyyyyyy的博客
11-25 4782
记录一次网页后台登录系统的渗透测试实战 拿到目标后台的管理员登录密码 以管理员身份进入后台
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 1万+
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
web渗透(个人笔记)
m0_65096687的博客
05-10 540
信息搜集就是对我们要进行渗透测试的目标主机进行一些信息搜集,以此来找到漏洞。信息搜集贯穿于我们整个渗透过程,无论是web的渗透,还是后面的内网渗透。因为在实战中,我们碰到的网站架构或者是内网topo结构都千奇百怪。所以信息搜集很重要,只有搜集到更多的信息,我们才能更有几率的找到漏洞。信息搜集分为主动信息搜集和被动信息搜集主动信息搜集就是我们主动的对网站进行端口扫描,目录爆破等。被动信息搜集就是利资产测绘进行搜集,从边缘的地方进行搜集。
【共读】Web渗透攻防实战(一)
weixin_68789096的博客
03-20 679
网络技术飞速发展的同时,也带来了巨大的网络安全隐患,如何在攻击发生之前“知己知彼”有效地防范,而不是“亡羊补牢”,扫描器就是“百战不殆”的利器。
WEB渗透技术研究与安全防御.docx
06-08
Web渗透测试是一种模拟真实黑客攻击的测试方法,旨在评估Web应用程序的安全性。通过采用类似黑客的技术手段,渗透测试人员能够识别出系统中的漏洞和安全弱点,并向组织提供报告,帮助其加强防护措施。 ##### 2.2 ...
Android基础渗透测试
12-14
### Android基础渗透测试知识点 ...对于初学者而言,了解并掌握上述基础知识是非常重要的第一步。同时,持续关注最新的安全动态和技术进展,不断学习和实践,才能成为一名合格的Android渗透测试工程师。
实战SRC漏洞挖掘全过程,流程详细【网络安全
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
05-12 5131
记录一次完整的某SRC漏洞挖掘实战,为期一个多星期。文章有点长,请耐心看完,记录了完整的SRC漏洞挖掘实战一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。为了回馈铁杆粉丝们,我给大家整理了完整的软件测试视频学习教程,朋友们如果需要可以自行免费领取 【保证100%免费】
一次渗透之旅 ,网络安全学习至上
Karka_的博客
12-29 860
所谓“杀猪盘”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。
对某小程序的一次渗透记录
布啦啦
03-25 701
最近报了一个驾校,然后在报名回家以后,就开始疯狂的挂科目一的时长,突然想到这个小程序会不会存在漏洞呢,如果发现了,还可以去CNVD(https://www.cnvd.org.cn/)报一下,一是拿个积分,二是间接修复一下漏洞,毕竟自己的所有信息都在这个小程序里,不想自己有一天因为它存在什么漏洞,导致自己的信息被人偷走,所以本着保护自己的原则,我开始了一次【试探】。具体是哪个小程序,这里我就不说啦,漏洞已经报到CNVD了,写本文只是做一个分享。
一个登录框怎么做渗透测试
weixin_47623655的博客
03-30 2244
在测试过程中,测试人员应该尝试输入包含特殊字符或注入代码的数据,以在进行渗透测试时,还需要对登录框进行敏感信息泄露测试。在对登录框进行漏洞扫描时,可以先手动构造一些常见的攻击载荷进行测试,例如SQL注入攻击载荷、XSS攻击载荷等,看看是否存在漏洞。测试目标确定后,需要了解目标网站的架构和技术,例如服务器的操作系统和版本、Web服务器的类型和版本、数据库的类型和版本等。在进行渗透测试前,需要获取测试人员的授权,以避免触犯法律。在进行登录框的渗透测试时,需要综合使用多种方法和工具,以确保测试的全面性和准确性。
C/C++——elf文件分析
知识,既贵,又便宜。
09-13 1984
C/C++代码经过编译后会生成elf文件,里面包含了平台、代码、数据,调试信息等。 1. elf文件格式 ELF Header 链接后的elf文件有三种类型,分别是可重定位文件rel(包含适合于与其他目标文件链接来创建可执行文件,或者共享目标文件的代码和数据);可执行文件exec(包含适合于执行的的一个程序,此文件规定了exec()如何创建一个程序的进程映像);共享目标文件dyn(包含可在两种上下文链接的代码和数据,如linux中已.so结尾的文件) 简写为Ehdr, 包含以下信息: e_ide.
一次对某企业的渗透测试实战
dfdhxb995397的博客
06-25 1787
作者:Vulkey_Chen 前言 本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了突破口。so没有绝对的安全,所谓的安全性其实都是相对的~ 信息踩点 在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。 信息难点: 传输加密: 要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过某产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的...
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 2万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围三、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本三、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
深度解析web渗透测试:框架、漏洞与对策
"这是一份关于web渗透测试的笔记,涵盖了渗透测试的框架与流程、网络漏洞扫描、web漏洞扫描、文件上传和包含漏洞、XSS和SQL注入、PHP代码注入和OS命令注入等多个关键主题。笔记详细阐述了web安全的基础知识,包括web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值