记录第二次web渗透测试篇

已于 2022-02-04 18:41:05 修改
阅读量3.1k 收藏 2
点赞数 2
分类专栏: 渗透测试 文章标签: 前端 安全 web安全 渗透测试 kali linux
于 2022-01-11 14:15:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47421272/article/details/122430611
版权
本文详细记录了一次web渗透测试的过程,从利用dirb、nmap、nikto等工具进行扫描,到上传webshell并成功连接,最后通过虚拟终端进行进一步操作。在尝试了口令登录失败后,作者通过扫描工具发现敏感目录,并最终突破防御进入后台。
摘要由CSDN通过智能技术生成

文章目录

提示:以下是本篇文章正文内容,下面案例可供参考

**

首先是一些渗透利用的工具:

1.dirb
2.nmap
3.nikto
4.中国蚁剑+weevely

**

开始

url:http://www.xxx.com/admin/media

在这里插入图片描述

首先尝试若口令登录
admin:admin
登不进去 用dirb扫描看看有没有敏感目录

在这里插入图片描述

[先看看robots.txt有没有东西
在这里插入图片描述什么都没有 继续看另一个 状态500的
在这里插入图片描述ok啊 这里看了一下没有爆sql帐号密码

最低0.47元/天 解锁文章
天满唯一
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web完整渗透测试
weixin_43916678的博客
09-25 1095
sql注入原理: 渗透测试流程: 上传文件的时候,如果服务器端脚本语言未对上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,从而控制整个网站,甚至是服务器。 这个恶意的文件(php、asp、aspx、jsp等),又被称WebShell。 WebShell就是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。 攻击者在入侵了一个网站后,通常会将这些asp或php 后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访
关于web渗透中得一些记录
ice
08-24 234
1. 当得到linux root shell时,采用如下语句可以添加管理员帐户   写道 useradd icefish //添加icefish用户passwd icefish //设置密码awk -F: '{print $1}' /etc/passwd 可以查看有多少用户不过刚建立的账户都是被锁状态需要解锁usermod -U icefish或者usermod -u uidusermod ...
渗透测试流(规范)
Kangjie_oo的博客
10-20 882
渗透测试流程1.明确目标2.信息收集(另外详写)3.漏洞探测(另外详写)4.漏洞验证5.信息分析6.获取所需7.信息整理8.形成报告 1.明确目标 1.1 确定范围(渗透目标的范围,ip,域名,内外网) 1.2 确定规则(能渗透到什么程度,时间?能否修改上传?能否提权等) 1.3 确定需求(web应用的漏洞(新上线的程序)?业务逻辑漏洞(针对业务)?人员权限管理漏洞(针对人员,权限等)立体全方位,根据自己需求和能力来确定能不能做,能做多少) 2.信息收集(另外详写) 方式:主动扫描,开放搜索等 开放搜索:
Web渗透学习记录(1.环境准备)
m0_48687074的博客
09-28 135
写在前面 这个文章仅作个人学习用,学习的视频在B站,请自行查找。 另:因为我过于愚钝,所以可能我的记录会很繁琐,希望能够帮到一些人。 注意事项 这次学习的教程可以应用于实验环境以及自己的业务环境,或者给甲方提供服务的时候(要得到甲方的书面授权)。 有空可以看看网络安全法。 关于环境的搭建 在虚拟机中安装以下几个虚拟机(注意安装Vmware Tools) 安装靶机: 安装链接:link. username:root ;password: owaspbwa 控制机——kali-linux(Ubuntu/de
web渗透测试
m0_47421272的博客
02-09 2497
文章目录0x01 信息 0x01 信息收集 利用whois查询目标信息 查询目标IP 进行目录扫描 扫描到后台直接干 对后台测试了错误路径,直接报错了,看看有没有什么有用的信息。 用的think框架 5.0.24。 好像有一个漏洞。 百度搜索thinkphp5.0.24漏洞 看了一圈都利用不到。只有一种思路了。 (bp爆破后台) 提示:以下是本文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas.
第3Web日志分析.pdf
最新发布
04-22
#### 二、Web日志中的关键信息 - **客户端IP地址**:用于识别访问者的地理位置。 - **访问时间戳**:精确到秒的访问时间记录。 - **HTTP请求方法**:如GET、POST等。 - **请求的资源路径**:用户访问的具体网页或...
WEB渗透技术研究与安全防御.docx
06-08
Web渗透测试是一种模拟真实黑客攻击的测试方法,旨在评估Web应用程序的安全性。通过采用类似黑客的技术手段,渗透测试人员能够识别出系统中的漏洞和安全弱点,并向组织提供报告,帮助其加强防护措施。 ##### 2.2 ...
Android基础渗透测试
12-14
### Android基础渗透测试知识点 #### 概述 随着移动互联网技术的发展,Android系统因其开放性和易用性成为了全球范围内最受欢迎的移动操作系统之一。然而,这也让Android应用面临着各种各样的安全威胁。根据2017年...
ISO27001第二次培训 - 风险评估.pptx
01-15
此外,还有通用工具如微软基准安全分析器(MBSA)进行系统安全扫描,Metasploit作为渗透测试工具,以及AppScan、Web Vulnerability Scanner等应用系统风险评估工具。客户端检测工具、云平台检测工具和手机端安全评估...
web安全攻防渗透测试笔记 (信安一班 李静)
m0_67855254的博客
04-07 1835
第三章sqlmap (1) 安装sqlmap前,需要先安装Python3.X Python Releases for Windows | Python.org (2) 在环境变量path中,增加python3.x 安装路径 (3) 下载sqlmap并解压缩: 地址:sqlmap: automatic SQL injection and database takeover tool Python sqlmap.py -uhttp://xxx.xxx.xxx/ Py...
Ajax学习笔记
panda没有黑眼圈
05-30 276
Ajax发生post请求 3_Ajax发生post请求.html: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial
Ajax 发送数据到 Servlet
Regino的博客
05-21 1386
本文介绍了 Ajax 发送数据到 Servlet 的相关内容。。。
AJAX与Servlet的get与post数据交互
SignalFire的博客
05-08 260
浏览器向服务器发送get请求 浏览器从后台获取数据 JavaScript部分 $('#btn').click(function(){ $.ajax({ type:'GET', url:'ajaxTest', dataType:'json', success:function(resp){ showResult(...
Web完整渗透测试实例
chaojixiaojingang
10-10 3万+
学习一整套的web渗透测试实验对以后的测试工作很有帮助,所以我把学习环境中的实现写下来,提供对整个网站测试的经验。 目的: (1)了解黑客是如何通过漏洞入侵网站,并获得服务器权限; (2)学习渗透测试完整过程原理:       黑客通过挖掘网站的注入漏洞,进而获得管理员账号密码进去后台,通过数据库备份,拿到webshell;然后黑客登录shell,通过2003服务器的提权exp拿下服务器的权限。...
web渗透初学笔记
Taowood的博客
07-15 2万+
web基础知识 前端漏洞:钓鱼、暗链、xss、点击劫持、csrf、url跳转 后端漏洞:sql注入、命令注入、文件上传、文件包含、暴力破解   例子 报文   熟悉状态码   目前流行的网站架构   搭建phpstudy集成软件   在PHPstudy的mySQL中操作SQL语法 创建数据库  CREATE DATABASE my_db; 查...
Web渗透(一)
热门推荐
Hack
11-20 5万+
Web渗透经典流程 判断脚本系统,判断数据库类型——&gt;寻找注入点——&gt;猜解数据库表名——&gt;猜解字段名——&gt;猜解用户名和密码——&gt;寻找后台地址登录,获得网站管理权限(webshell) 常见漏洞 注入漏洞                                               URL为:asp?id=                      ...
Web渗透测试入门:基础与安全风险
"Web渗透测试攻略(上):学习如何进行Web应用的安全测试,了解网络IP配置,以及Web安全模型和风险。" 在Web渗透测试领域,深入理解Web应用程序的工作原理和潜在安全问题至关重要。这份文档旨在引导读者掌握必要的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值