提权—网站的权限后台漏洞第三方

VIP文章 已于 2022-02-17 19:47:44 修改
阅读量4.1k 收藏 7
点赞数 1
分类专栏: 渗透测试 # 权限提升 Web安全 文章标签: 安全 web安全
于 2022-01-30 13:34:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qi_SJQ_/article/details/122744890
版权

在这里插入图片描述
1.权限提升:

此处提权指的不是让网站的普通用户获取到管理员的权限(那属于网站的逻辑漏洞)而是我们已经利用网站的漏洞拿到了一些权限乃至webshell后如何利用网站权限进而获取到数据库、操作系统、服务器等的权限。

2.具体有哪些权限需要我们知道和了解掌握的:

后台权限、网站权限、数据库权限、接口权限、系统权限、域控权限等,一般正常的权限由小到大的顺序。

1)后台权限(获得方式:爆破、注入猜解、弱口令等):一般网站或应用后台只能操作应用的界面内容、数据图片等信息,无法操作程序的源代码或服务器上的资源文件。(但是如果后台功能存在文件操作的话也可以操作文件数据拿到shell)

2)网站权限(获得方式:漏洞、曝光的exp获取):查看或修改(还要看有没有锁权)程序源代码,可以进行网站或应用的配置文件读取(接口配置信息、数据库配置信息等),还能收集服务器操作系统等相关的信息,为后续系统提权做准备。

3)数据库权限:操作数据库的权限,数据库的增删改查等,源码或配置文件泄露,也可能是网站权限(webshell)进行的数据库配置文件读取获得。</

最低0.47元/天 解锁文章
暮w光
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站提权专包 所有的提权工具都在里面
10-21
网站提权专包.zip 网站提权专包 所有的提权工具都在里面
网络安全系列之七 网站提权
weixin_33704591的博客
10-10 243
上传了webshell之后,我们的目的是获取服务器的系统管理员权限,这也是******的最终目的。“H4ck Door”是一个很牛的大马,提供了很多功能,我比较喜欢的是执行cmd命令来提权。首先执行“net user”命令查看服务器有哪些用户,如果命令无法执行,可以勾选旁边的“wscript.shell”。 然后创建一个名为test的用户,并将他添加到管理员组。  查看系统是否开放了3389端口,...
权限提升:网站后台.(提权思路.)
网络安全领域___专研者.
04-18 1690
权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通过操作系统漏洞或操作系统的错误配置进行提权,也可以通过第三方软件服务,如数据库或 FTP 等软件的漏洞进行提权
网站提权
ztaos的博客
12-04 483
网站提权:中国菜刀   cmd.exe   pr.exe 3389.bat               一句话木马   例子   http://bbs.ichunqiu.com/thread-1783-1-1.html        http://bbs.ichunqiu.com/thread-1821-1-1.html
提权相关网站
devil8123665的博客
08-21 309
1、linux提权方法(不断总结更新) https://www.cnblogs.com/zaqzzz/p/12075132.html 2、Linux 提权 https://blog.csdn.net/silentpebble/article/details/39232837 3、Linux提权中常见命令大全 https://www.cnblogs.com/-qing-/p/10610827.html 4、Linux 提权的各种姿势总结 https://blog.csdn.net/zhalan.
第58天:权限提升-网站权限后台漏洞第三方获取1
08-03
后台权限网站权限,数据库权限,接口权限,系统权限,域控权限后台权限:(获得方式:爆破,注入猜解,弱口令等获取的帐号密码配合登录)一般网站或应用后台只能操作应
品络企业网站系统 1.0.rar
05-25
十二、后台可在碎片模块添加QQ、MSN、淘宝旺旺、阿里旺旺、SKYPE、第三方客服交流软件等,支持强大的交互式营销工具,让您的网站不只是一个死板的摆设; 更多的功能不再一一描述,其中的方便简单、可拓展性、人性化...
最新开运网源码,运势测算网站源码,流年风水起名+八字算命+算财运姻缘+易经周易+占卜测试
06-15
本品已对接第三方支付如易支付,后台修改填写个人信息,前台修改回调地址即可 商家版微信支付宝接口权限申请设置的说明* 微信后台回调安全JS设置等一定要授权你的支付域名,包括把你的服务器ID添加到微信公众...
YouDianCMS-PHP
06-25
自定义标签管理、数据库管理、数据库还原、频道模型管理、一键备份全站、操作日志管理、网站目录权限检测、菜单管理、区域管理内容管理:频道管理、专题管理、类型管理、信息管理(各个频道信息增删改查)互动管理:...
简约清爽社区论坛源码 自适应手机端 带后台带会员中心可发帖
08-18
简约清爽社区论坛源码 自适应手机端 带后台带会员中心可发帖 针对个别空间安装出现两个3306进行了...增加了支付宝支付和第三方登录接口; 增加了积分名称修改。 安装说明: 源码上传后,访问你的域名/install进行安装
mysql的root权限提权
02-28
mysql的root权限提权
权限提升:网站漏洞提权思路.)
网络安全领域___专研者.
04-19 1556
权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通过操作系统漏洞或操作系统的错误配置进行提权,也可以通过第三方软件服务,如数据库或 FTP 等软件的漏洞进行提权
网站服务器提权,网络安全系列之七 网站提权
weixin_33704298的博客
08-06 364
上传了webshell之后,我们的目的是获取服务器的系统管理员权限,这也是******的最终目的。“H4ck Door”是一个很牛的大马,提供了很多功能,我比较喜欢的是执行cmd命令来提权。首先执行“net user”命令查看服务器有哪些用户,如果命令无法执行,可以勾选旁边的“wscript.shell”。然后创建一个名为test的用户,并将他添加到管理员组。查看系统是否开放了3389端口,可以看...
权限提升(提权)一
weixin_45626840的博客
12-02 985
权限提升
提权-网站权限后台漏洞第三方获取
weixin_46425310的博客
08-02 424
提权-网站权限后台漏洞第三方获取 webshell获取 * 后台:文件上传,模板修改,数据备份,数据修改等功能,若有文件上传功能就可以拿shell * 漏洞:文件上传,文件包含,RCE执行,SQL注入,若是已知cms,看有无已知漏洞拿shell * 第三方:编辑器,中间件平台,phpmyadmin… 提升权限:重点明白当前获取的权限能做哪些事情。 后台权限,数据库权限,接口权限,系统权限,域控权限后台权限(爆破,sql注入爆库,弱口令):一般网站或应用后台只能操作应用的界面内容,数据,图片等信息,无法操
关于后台提权的问题
wakakaxi的专栏
09-16 521
关于后台提权的问题  唉 研究了好久 当都没有一个成功的  郁闷得很 不知道是什么原因 是方法不对?还是已经过时了? 网上的教程都看得差不多了 但还是有些收获 至少懂得了该如何下手 不过 我一定要在这个月拿下一个大站 呵呵
01-权限提升-网站权限后台漏洞第三方获取
qq_56414082的博客
05-01 1002
本节课内容主要是权限提升的思路,不涉及技术当前知识点在渗透流程中的点当前知识点在权限提升的重点当前知识点权限提升权限介绍利用成功后的思想 需要总结的思路。
提权(最全的WEBSHELL)
热门推荐
Coisini的博客
05-24 1万+
最全的WEBSHELL c: d: e:… C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径, C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了...
目录遍历&www提权
weixin_48876267的博客
10-23 496
1、首先探测靶机的信息 nmap -sV -T4 192.168.222.135 2、扫描网页目录 dirb http://192.168.222.135 nikto -host 192.168.222.135 发现利用nikto扫描网页时发现没有可以利用的信息。 在dirb中发现有个dbadmin的网页,访问网页查看 发现了网站登录后台 尝试弱密码 ------------------- 123456 123123 admin ------------------- admin 尝试成功.
Android 第三方权限
最新发布
12-12
Android应用程序需要访问各种系统资源和数据,例如相机,联系人,位置等。...在Android中,第三方应用程序需要在其清单文件中声明其需要的权限,用户在安装应用程序时将看到这些权限,并可以选择授予或拒绝访问权限

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值