web渗透测试

最新推荐文章于 2023-05-20 08:00:00 发布
最新推荐文章于 2023-05-20 08:00:00 发布
阅读量130 收藏 1
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46277212/article/details/118309953
版权

信息收集

告诉一个域名信息
任务

  • 1.找到这个域名的IP地址,mac地址

  • 2.找到域名操作系统的版本

  • 3.找到域名的数据库版本,PHP版本和中间件信息

  • 4.找到这个域名的隐藏端口

  • 5.找到这个域名的用户信息

漏洞的分析以及工具的使用

  • 1、存在敏感目录,找到这个网站的管理员登陆页面

御剑、

  • 2、爆破这个网站,获取这个网站的管理员用户名和密码

Burpsuite、密码字典

  • 3、找到这个网站的文件上传漏洞,并上传木马,控制这个网站服务器

Burpsuite、中国菜刀(蚁剑)、木马(一句话木马)(大马)

  • 4、找到这个网站的SQL注入漏洞,并获取到这个网站的所有用户的用户名和密码信息

sqlmap、数据库连接工具、

  • 5、给这个网站提权并维持权限,创建一个新的服务器管理员用户,去远程连接此网站服务器

中国菜刀、NC工具、Mstsc

  • 6、利用XSS漏洞,监听网站的cookie和其他登陆此网站的用户信息
白 小猫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透---windows内网渗透
jklbnm12的博客
09-19 1295
不同的操作系统可能存在版本漏洞、中间件漏洞、组件漏洞、端口服务漏洞等,在渗透测试的过程中可以通过信息收集来获取思路。 内网渗透思路 本次内网渗透的思路为:通过信息收集对网站进行分析,通过攻击外网服务器,从而获取外网服务器的权限,然后利用入侵成功的外网服务器作为跳板来攻击内网其他服务器,最后获得敏感数据(系统密码等),看情况安装后门木马或者后门软件,实现长期控制和获得敏感数据的方式。 还有一种内网渗透的思路为:通过社工等方法攻击企业办公网的电脑、办公网无线等,实现控制办公电脑,再用获得的办公网数据。 渗透
渗透测试环境搭建
weixin_59616219的博客
12-20 2309
渗透测试环境搭建
Web完整渗透测试实例
热门推荐
chaojixiaojingang
10-10 3万+
学习一整套的web渗透测试实验对以后的测试工作很有帮助,所以我把学习环境中的实现写下来,提供对整个网站测试的经验。 目的: (1)了解黑客是如何通过漏洞入侵网站,并获得服务器权限; (2)学习渗透测试完整过程原理:       黑客通过挖掘网站的注入漏洞,进而获得管理员账号密码进去后台,通过数据库备份,拿到webshell;然后黑客登录shell,通过2003服务器的提权exp拿下服务器的权限。...
渗透利器 | 常见的WebShell管理工具
2201_75719295的博客
05-20 1055
攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。 本文介绍十款常用的Webshell管理工具,以供你选择,你会选择哪一个?
WebShell工具特征流量分析合集
爱吃仡坨的Blog
10-25 1617
通过编码的数据包1特征,发现是URL编码(BP会自动对其解码显示)还可以通过解码网站对其进行解码,之后分析数据包特征如下图,发现通过蚁剑终端传参之后得到的响应包任然是明文的。
web测试
weixin_30415113的博客
05-04 449
项目的测试流程大只包含的几个阶段:立项、需求评审、用例评审、测试执行、测试报告文档 一、立项后测试需要拿到的文档 1、需求说明书 2、原型图(及UI图) 3、接口文档 4、数据库字典(表的数量、缓存机制) 二、需求评审 参加人员:开发、测试及需求人员,由需求人员主持讲解。 为了会议的有效举行,测试及开发人员需要在会议开始之前熟悉需求文档及原型,将有疑问 的点标注出来在会议...
网站渗透测试
itxib的博客
07-22 2340
网站渗透测试
Web渗透测试用例.xlsx
01-05
包含渗透测试需要哪些项目,以及具体的测试步骤和方法。就算是小白,都能按照以上步骤做应用安全测试,包括测试网站,APP,小程序,公众号等,呕心沥血内部资料
web渗透测试基线模版
12-22
web渗透测试基线模版
web渗透测试靶机(新手)
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞的Web应用,让学习者通过查找和利用...
毕业设计:基于Python的web渗透测试工具(源码 + 数据库 + 说明文档)
最新发布
06-10
毕业设计:基于Python的web渗透测试工具(源码 + 数据库 + 说明文档) 第2章 web安全评估及测试的介绍 8 2.1 渗透测试 8 2.2 web安全评估 8 第3章 渗透测试及安全评估的设计 10 3.1 漏洞渗透测试方法设计 10 3.2 SQL...
中国菜刀下载及基础使用教程
01-26 1万+
2011,2014,2016版下载及基础操作
初始webshell+中国菜刀的使用
m0_48222671的博客
04-18 5304
提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试 文章目录一、webshell是什么?二、木马三、中国菜刀 一、webshell是什么? “Web” 的含义是服务器开放web服务; "Shell"的含义是取得对服务器某种程度上的操作权限; "webshell"就是获取对服务器的控制权限,这就需要我们借助一些webshell管理工具和一些漏洞去得到这种权限。 二、木马 在我们使用webshell管理工具之前,需要先在目标服务器上传或创建一个木马文件 木马分为大马、小马和一句话木马: 小马:文.
中国菜刀使用与原理分析
weixin_45597678的博客
12-04 1万+
中国菜刀的功能 中国菜刀的使用 原理分析
WebShell连接工具(中国菜刀、WeBaCoo、Weevely)使用
悦分享
07-31 3335
第三步此时会弹出一个添加shell的对话框,由图一看出我的“dxr.php”上传在站点根目录,所以这里的地址填为http//localhost/dxr.php。最后把这个文件保存,上传到你站点里面,可以是根目录,也可以是其他,都行的。这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。最后点击“添加”按钮,成功后就会产生一条新的记录,鼠标右键点击就可以进行操作了,如下图,可以进行文件管理,数据库管理,虚拟终端。哈哈...大功告成!...
中国菜刀原理与实践
悦分享
08-03 1620
中国菜刀(Chopper)是一款经典的网站管理工具,具有文件管理、数据库管理、虚拟终端等功能。服务端其中‍Sp4ar是连接密码,可以随意更改。也可对服务端做一些混淆操作。配置类型 类型可为MYSQL,MSSQL,ORACLE,INFOMIX中的一种主机地址 主机地址可为机器名或IP地址,如localhost数据库用户 连接数据库的用户名,如root数据库密码 连接数据库的密码,如123456。...
XSS攻击——cookie
qq_46277212的博客
06-23 1887
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值