使用webshell工具对网站进行渗透测试

已于 2023-02-06 12:50:25 修改
阅读量597 收藏 1
点赞数
文章标签: web安全 网络安全 Powered by 金山文档
于 2023-02-04 10:30:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71635484/article/details/128879274
版权
本文详细介绍了如何利用webshell工具如冰蝎和蚁剑对网站进行渗透测试。通过sql注入发现漏洞地址,上传hack.php文件,然后使用蚁剑创建并上传shell.php,最后通过冰蝎建立连接并进入后进行数据操作查看。
摘要由CSDN通过智能技术生成

一、目标网址http://43.138.211.45 webshell工具:冰蝎(环境:phpstudy+windows 10)、蚁剑

二、渗透准备。

  1. sql注入。

①在渗透开始之前,先用命令sqlmap -u http://43.138.211.45/about.php?listid=8 --os-shell

②找到php下的custom location(自定义位置),将文件目录路径设置为:/var/www/html,随后将找到的含有.php路径的地址便是所需的漏洞地址。

  1. 上传马。

①进入http://43.138.211.45/tmpubwcv.php,点击浏览,上传hack.php文件

最低0.47元/天 解锁文章
fly哥
关注
web渗透测试之代码审计
赤赤三的博客
03-21 3035
基本信息: 原理: 代码安全测试是从安全的角度对代码进行测试评估 结合丰富的安全知识、编程经验、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件前将业务安全降到最低 方式: 人工+工具双重审核 人工审核: 既能解决内部问题也能解决外部问题,最有效率的解决方案,理论上人工审核最有效,但是效率不高,所以会采用自动化分析工具辅助人工的方式来提供效率 静态分析工具: 通过一组全面规则、测试机制和方针在软件开发过程、测试过
10款常见的webshell工具推荐!
oldboyedu1的博客
04-24 508
webshell是黑客经常使用的一种恶意脚本,攻击者在入侵网站时,通常会通过各种方式写入webshell,从而获得服务器的控制权限。中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。UNICODE方式编译,支持多国语言输入显示。Altman3是一款渗透测试软件,基于.Net4.0开发,依托Eto.Form可以完美运行在Windows、Linux、Mac等多个平台。AntSword是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权威或授权的安全研究人员以及网站管理员的需求。
常用在线 Webshell 查杀工具推荐
最新发布
m0_68483928的博客
08-06 870
这篇文章将介绍几款常用的在线 Webshell 查杀工具,包括长亭牧云、微步在线云沙箱、河马和VirusTotal。每个工具都有其独特的特点和优势,用于帮助用户有效检测和清除各类恶意 Webshell,保障网站和服务器的安全。文章将深入探讨它们的工作原理、适用场景及如何选择合适的工具来应对不同的安全挑战。
渗透测试Webshell
weixin_41715662的博客
07-02 2266
网络攻击中的Webshell攻击介绍
php测试渗透工具,GitHub - cream-sec/pentest-tools: 渗透测试必备工具
weixin_32520565的博客
03-12 396
-渗透测试必备工具EXP编写框架及工具二进制EXP编写工具https://github.com/t00sh/rop-toolCTF Pwn 类题目脚本编写框架https://github.com/Gallopsled/pwntoolsan easy-to-use io library for pwning developmenthttps://github.com/zTrix/zio跨平台注入工具...
owasp php代码,phpvuln|查找PHP代码漏洞工具|OWASP渗透测试工具
weixin_42542420的博客
03-29 226
phpvuln是用Python 3编写的开源OWASP渗透测试工具,它可以加快在PHP代码中查找常见PHP漏洞的过程,例如命令注入,本地/远程文件包含和SQL注入。phpvuln安装方法您可以通过克隆Git存储库来下载phpvuln:git clone https://github.com/ecriminal/phpvuln.git切换目录cd phpvuln安装所需的PIP软件包:python ...
php网站渗透实战_记一次渗透实战 - Azeng呐的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_29192141的博客
01-12 302
点击蓝字 关注我们目标:http://xxx.xx.xxx.xxx:9002/xxx/xxm/login.php访问目标 此时此刻,拿出我们拿出好兄弟burp来抓包,看下响应包 尝试枚举,看能不能碰到狗屎运跑中国人名字典,无结果,表示今天运气不行啊 废话不多说继续!!!常规操作,对目标目录进行删减 ,发现了目录遍历的漏洞http://xxx.xx.xxx.xx:9002/xxxying...
渗透测试攻防webshell大合集.zip
07-26
超千个实战webshell: 138shell antSword antSword-shells AntSwordProject asp aspx b4tm4n-toolz Backdoor Dev Shells webshellpub等等,太多了,不一一列举了,需要的下载使用
webshell渗透测试软件
08-10
网络安全与数据恢复相关工具渗透测试软件
sqlmapproject渗透测试工具
07-14
SqlMap是一款强大的、自动化SQL注入渗透测试工具,用于检测和利用网站应用程序中的SQL注入漏洞。它的设计目的是帮助安全研究人员和渗透测试者有效地发现并利用数据库层的漏洞。SqlMap的工作原理是通过发送精心构造的...
渗透入侵\海洋顶端PHP注射工具.zip
07-15
海洋顶端PHP注射工具
webshell连接工具冰蝎2.0,后面有三点零的,找一找再发
12-28
做渗透的,不支持恶意攻击
史上渗透测试最全工具合集
05-19
内容包含webshell,漏洞分析与利用,代码审计等渗透测试工具
实战渗透-一次拿到webshell后艰难的提权
qq_29437513的博客
07-25 2124
记上一篇,拿到webhshell后,数据库是dba, 本地上传一个cmd.exe组件上去后,执行失败 网上很多说改路径,写的也写不明白,想到之前迪哥用过的大马提权, 环境是php,但支持asp,有iis组件, 发现 D://recycle可写,传一个cmd.com组件执行命令 权限真的很小,是 nt service 网络用户权限,ns的权限是不能执行net的 支持的组件,提权的时候用的找 ===================== 查看systeminfo,发现有200多个补丁,准备打溢出,目标机是可以
webshell开始的内网入侵
zhalang8324的博客
08-10 3177
一个关于内网入侵的小总结
实战渗透-一次曲折的拿webshell实战
qq_29437513的博客
07-25 729
几天前,逛论坛,看见某佬哥找了某个学校的sql注入点,, 注入点在查询页面的url参数上,当时觉得很新奇,觉得这个注入点很奇特,后来想继续研究,谷歌找了找吧这个站找了出来 这里为了安全,参数用 ?abc=cx代替 ,在cx’后报错,按原作者的意思,测出来过滤了逗号, 联合查询 cx’ union select 1,2,3,4,5,6,7,8,9,10,11%23 成了1234567891011.。 这里用join手法拼接注入, union select 1,2==union select from (s
网络安全学习中,后渗透的详细步骤解析如何?
2301_76161259的博客
03-02 1161
渗透测试是什么?网络安全学习中,后渗透的详细步骤解析如何?后渗透的详细步骤解析当我们探测到了该网站存在漏洞之后,我们就要对该漏洞进行利用了。不同的漏洞有不同的利用工具,很多时候,通过一个漏洞我们很难拿到网站webshell,我们往往需要结合几个漏洞来拿webshell
Web安全渗透测试有什么关系?
Python_0011的博客
03-31 1011
渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
网络安全渗透测试资源大全:工具网站、指南和教程
为了帮助安全从业者和渗透测试者更好地进行网络安全方面的工作,本资源汇总了多种网络安全渗透测试相关的工具网站资源。 **网络安全渗透测试工具** 1. SOMETHING_FUN:一个渗透测试工具,用于检测网络漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值