信息收集04(利用第三方软件漏洞)

最新推荐文章于 2021-03-12 16:34:56 发布
最新推荐文章于 2021-03-12 16:34:56 发布
阅读量227 收藏 2
点赞数 1
分类专栏: 小迪
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/114322762
版权

如果站点本身没有什么漏洞,那么我们可以试试其他服务,一般其他服务都有对应的端口
我们就可以来端口扫描一下(nmap)
在这里插入图片描述
这里扫出来一个8080,我们来看一下是什么漏洞
发现是个ftp服务器用的8080端口
在这里插入图片描述
然后发现,这个ftp服务有个hfs漏洞,我们去仔细看下
在这里插入图片描述
发现这个漏洞可以执行cmd命令
(这里他是添加了一个用户,然后提权)
在这里插入图片描述
执行这个payload
。。。。。
省略几个步骤
在这里插入图片描述
然后我们去本地看看,发现多了一个用户,而且还是管理员权限。
在这里插入图片描述
然后我们在用这个账号进行远程登录,前提是目标机开了远程服务(也就是对应的3389端口)
在这里插入图片描述
然后我们就登入目标机了
在这里插入图片描述

樱浅沐冰
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
第三方库漏洞通用解决方案
测试架构师养成记的博客
09-22 1231
fastjson近期曝出代码执行漏洞,恶意用户可利用漏洞进行远程代码执行,入侵服务器,该漏洞评级为“高危”。公司要求立即进行版本升级解决该安全漏洞。 那什么是fastjson呢? fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 那漏洞的修复方案是什么呢? 针对本次0...
软件安全漏洞测试报告_现实生活中的软件安全漏洞以及如何确保安全
编程故事的地方
01-22 2456
软件安全漏洞测试报告 现在,我们生活中最重要的方面,包括财务,身份和医疗保健,都取决于代码。 现在,软件安全不仅对于公司而且对于个人而言都是至关重要的方面。 任何使用现代软件产品和服务的人都希望了解基本的软件安全性概念,以保持生活的幸福。 对于致力于设计,创建或维护这些产品和服务的任何开发人员,必须全面了解安全漏洞和安全最佳做法,以避免可能导致安全损失甚至数百人,数千人甚至数百万人死亡的安全...
利用第三方软件 0day 漏洞加载和执行的木马分析
weixin_34138521的博客
03-08 319
腾讯电脑管家 · 2015/03/03 19:340x00 前言近期腾讯反病毒实验室捕获了一批针对性攻击的高级木马,该木马使用近期热门的时事 话题做诱饵,对特殊人群做持续针对性攻击,目前腾讯电脑管家已经能够准确拦截和查杀该 木马。图 1. 腾讯反病毒实验室拦截到的部分木马文件压缩包0x01 分析该木马主要通过邮箱等社交网络的方式对特定用户进行针对性推送传播,原始文件伪装 成常见的 windows ...
常见的软件安全性缺陷和漏洞介绍,靠谱的第三方软件安全测评机构推荐,
卓码测评
03-12 1198
软件的安全包含很多方面的内容,主要的安全问题是由软件本身的漏洞造成的,下面我们说说几种常见的软件安全性缺陷和漏洞,大家在程序开发或是测试时不妨考虑或验证一下,我们所开发或是测试的程序,是否存在这些方面的安全隐患。 1.SQL注入 所谓SQL注入式攻击,是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 简单举个小例子,一个登录模
悬镜安全丨使用第三方库进行软件开发的安全风险研究
Anprou的博客
12-26 1239
其它第三方资源库平台则告诉作者,他们有意采取不干涉态度,一方面是因为其不具备代码审查技术能力,另外,他们认为这不是他们的职责所在。
后渗透——Filezilla第三方软件提权
爱国小白帽
03-13 3505
Filezilla FileZilla是一个免费开源的FTP软件,分为客户端版本和服务器版本,具备所有的FTP软件功能。可控性、有条理的界面和管理多站点的简化方式使得Filezilla客户端版成为一个方便高效的FTP客户端工具,而FileZilla Server则是一个小巧并且可靠的支持FTP&SFTP的FTP服务器软件。 Filezilla和普通Web网站一样,前台有普通FTP账户执行...
利用第三方服务对目标进行被动信息收集防止被发现-资料包.rar
05-10
这个资料包“利用第三方服务对目标进行被动信息收集防止被发现”显然关注的是如何巧妙地利用公开可用的服务来执行这一任务。以下是针对该主题的详细知识解析: 1. 第三方服务信息收集:在网络安全中,第三方服务如...
Thinkphp第三方登录演示
04-07
同时,为了保护用户隐私,第三方登录获取到的信息应仅限于必要的范围,不应过度收集。 此外,安全问题不容忽视。例如,防止CSRF攻击,确保请求的来源合法性;使用HTTPS协议传输敏感数据,保护用户信息不被窃取;...
基于机器学习的第三方SDK漏洞检测技术研究.pdf
09-21
本文的研究重点在于基于机器学习的第三方SDK漏洞检测技术。机器学习是一种人工智能方法,通过训练模型来识别数据中的模式和规律,以此来进行预测或分类。在软件安全领域,机器学习已被证明在检测漏洞、异常行为和...
红蓝对抗 常用第三方SDK收集个人信息测评报告 - cryengine.zip
11-06
《红蓝对抗中第三方SDK对个人信息收集的测评分析》 在当今数字化社会,个人信息安全问题愈发引起关注。红蓝对抗,即网络安全领域的攻防演练,是企业保障自身信息安全的重要手段。其中,第三方软件开发工具包(SDK)...
渗透测试打点信息收集漏洞扫描系统.zip
07-20
1. **网络漏洞扫描**:使用Python的`masscan`库或第三方工具(如Nessus、OpenVAS),扫描目标IP范围内的漏洞,包括服务过时、默认配置、弱口令等。 2. **Web漏洞扫描**:利用`OWASP ZAP`、`Burp Suite`等工具或...
漏洞信息收集之——指纹识别
温柔小薛的博客
04-10 3213
指纹识别 目的 知道对方使用的CMS(是自己开发还是开源的,有什么端口,中间件,IP,服务器存放地址),二级域名,敏感信息, 在这个过程可以加入端口扫描,敏感信息收集 御剑web指纹识别系统 whatweb wapplyzer 在线识纹识别: http://whatweb.bugscaner.com/look/ http://www.yunsee.cn/finger.html Waf 识别 git...
性能~问题业务场景稳定性测试
07-25
1
《AI大模型应用》--百度AI 文心一言.zip
07-25
个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸!
b112日常办公用品直售推荐系统-springboot+vue.zip(可运行源码+sql文件+)
07-25
日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 日常办公用品直售推荐系统是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
Android个性化书架应用构建.rar
07-25
Android个性化书架应用构建
b120房屋租赁管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-25
房屋租赁管理系统管理系统按照操作主体分为管理员和用户。管理员的功能包括报修管理、字典管理、租房房源管理、租房评价管理、房源租赁管理、租房预约管理、论坛管理、公告管理、投诉建议管理、用户管理、租房合同管理、管理员管理。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。 房屋租赁管理系统管理系统可以提高房屋租赁管理系统信息管理问题的解决效率,优化房屋租赁管理系统信息处理流程,保证房屋租赁管理系统信息数据的安全,它是一个非常可靠,非常安全的应用程序。 管理员权限操作的功能包括管理公告,管理房屋租赁管理系统信息,包括房源管理,报修管理,报修管理,公告管理等,可以管理投诉建议。 房源管理界面,管理员在房源管理界面中可以对界面中显示,可以对房源信息的房源状态进行查看,可以添加新的房源信息等。报修管理界面,管理员在报修管理界面中查看,新增报修信息等。投诉建议管理界面,管理员在投诉建议管理界面中新增投诉建议,可以删除投诉建议。公告管理界面,管理员在公告管理界面查看公告的工作状态,可以对公告的数据进行导出,可以添加新公告的信息,可以编辑公告信息,删除公告信息
开题报告创权法律服务系统 已通过开题答辩的.doc
07-25
进入20世纪80年代,我国加快了改革开放的步伐,市场经济体制已逐步形成,我国的经济发展受世人所瞩目,但法律法规的置后,使经济发展不规范问题暴露的相当严重,特别是社会整体信用的缺失,使消费环境不断恶化。而如今随着城镇化的高速推进,精神追求远不及物质发展迅速,维权问题也越来越成为人们十分关注的社会话题。 维权是指维护个人或群体的合法权益,范围包括人身损害、土地纠纷、 医疗事故、婚姻、家庭、继承等民事纠纷所进行的行政及司法诉讼。维护消费者合法权益关系着全社会每个人的利益,群众利益无小事。维护消费者合法权益正体现着“权为民所用,利为民所谋”。而现如今由于法律规则的不完善加上自身对法律知识的不了解,导致很多公民的权益问题在复杂的社会情况下无法得到妥善的解决,使得公民的财产和心理受到难以弥补的损失,严重威胁到社会的安全与稳定,公民之间的诚信与统一。因此更便捷、迅速地维护公民的合法权益,已经成为了一个刻不容缓去解决的社会问题。
开题报告大数据统计分析的气候可视化系统 已通过开题答辩的.docx
最新发布
07-25
互联网的不断发展建设,数据时代的到来,人们对各类数据的挖掘、统计的需求越来越大,爬虫技术的成熟,为人们提供了极大的便利,通过爬虫技术可快速挖掘、统计人们所需数据。 随着计算机技术的发展,天气数据信息化已经成为时代发展必然,天气数据变幻莫测,天气数据每时每刻都在变化,面对大量的天气数据,导致现有的天气数据信息系统已经不能满足大量天气数据挖掘分析的应用需求,因此,人们开始结合天气数据相关特点,进天气数据挖掘方面的研究。只有将天气数据、大数据平台和分析技术很好的耦合,才能为用户提供及时的天气信息,才能更好的分析天气情况。因此,针对天气数据挖掘和分析方面,建立一个大数据统计分析的气候可视化系统是必须的,系统的应用可将天气数据可视化,全面分析,更好的为用户服务。
内网渗透技术与信息收集指南
- 使用第三方工具 `HackBrowserData` (https://github.com/moonD4rk/HackBrowserData),可以从浏览器中提取保存的密码。 5. **WiFi密码**: - `netsh wlan show profiles` 列出所有Wi-Fi配置文件,`netsh wlan ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值