第一次经历渗透测试的总结

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_37298287/article/details/72730772

第一次写博客,总结知识。


通过本次渗透测试,总结流程分为 1搜集信息 2利用漏洞 获取后台管理的账户密码 3通过后台来获取shell 4提权,得到管理员账号密码


1搜集信息


    判断网站是否为开源网站,如果是,google,baidu找关于本站的源码和漏洞信息,如果不是,御剑扫目录,寻找可能存在的突破点(文件读取,弱口令,sql注入等)


2利用漏洞


    通过漏洞得到后台权限,寻找上传点或者修改配置文件来写入一句话木马,通过菜刀连接


3提权


   查看本地权限,当命令无法执行或者权限不够时,上传提权攻击(cmd.exe,pr.exe,3389.exe)


4获得管理员密码


   上传cain来获得管理员的hash进行破解,或者上传pwdump7.exe来获得管理员hash

展开阅读全文

没有更多推荐了,返回首页