后渗透之文件系统+上传下载文件

最新推荐文章于 2023-07-01 08:00:00 发布
最新推荐文章于 2023-07-01 08:00:00 发布
阅读量1.6k 收藏 5
点赞数 1
分类专栏: 网络安全 文章标签: kali msf 网络安全 后渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/125491560
版权

kali已经拿到一台Windows10的meterpreter

后渗透之文件系统

下面记录后渗透阶段用到的一些命令:

在这里插入图片描述

查看靶机信息:

sysinfo

在这里插入图片描述

查看靶机文件和目录:

ls
dir
getwd   查看靶机的目录路径

在这里插入图片描述

在这里插入图片描述

查看攻击机或者监控及的文件和目录

lls
getlwd  查看当前攻击机或者监控机的目录路径

在这里插入图片描述

在这里插入图片描述

在靶机创建一个目录:

mkdir xxx
rmdir xxx   删除目录

切换/移动靶机目录:
cd

切换攻击机的目录:
lcd

edit a.txt 编辑靶机文件(类似于vim来编辑)

cat a.txt 读取靶机文件

删除文件
rm a.txt
del a.txt

修改文件权限:
chmod 777 shell.elf linux系统

其他一些不常用的命令:

help 查看帮助

后渗透之上传下载文件

在这里插入图片描述

准备一个木马:a.exe 用msfvenom生成好的

在这里插入图片描述

上传文件a.exe

upload a.exe

在这里插入图片描述

然后ls 发现上传成功

download new.exe
从靶机下载某个文件

qq_51550750
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用kali与Xshell进行连接以及文件的上传(以及root权限初次登录kali连不上Xshell的解决方法)
dajnaj的博客
11-24 5672
kali与XShell的连接与文件上传,以及root用户初次连接XShell时无法连接的解决办法
文件下载与文件上传
王和平的第三个果园
06-20 106
文件下载 文件下载时,默认的中文名称存在乱码: 原因: 文件下载时,默认的文件名称必须使用浏览器默认的编解码方式进行解码 Google(谷歌浏览器): utf-8 火狐: base64 IE: 高版本的浏览器使用utf-8 import com.itheima.utils.DownLoadUtils; import org.apache.commons.io.IOUtils; import javax.servlet.ServletContext; import javax.servlet.Servlet
如何在kali linux中部署文件上传靶场,并在Windows本机访问
分享与记录
05-12 1170
这里我没有用之前那个比较经典的文件上传靶场,而是使用国光大佬自己开发的靶场,讲解更详细,界面更好看。 项目地址: https://hub.docker.com/r/sqlsec/ggctf-upload 进入目录,然后安装,这里我自行把文件夹名称改为upload-labs # 进入项目文件夹 cd upload-labs # 一键部署运行 docker-compose up -d 该项目的13个题目,端口为30001-30013。 因此,从 Windows 本机访问 kali linux 的 IP,
kali内网终端传输文件命令
2301_77564090的博客
05-29 664
其virtualbox虚拟机或者其他机器访问该主机IP:端口号即可下载当前主机的文件。当virtualbox虚拟机和主机双向拖放文件失效后(在内网传输文件也通用)开启本机服务(默认8000)可以在物理机终端输入。
kali传输文件到win 7,利用python搭建简单的web服务器传输文件
qq_58018041的博客
04-14 1436
kali传输文件到win 7,方法多种多样,可以利用VMware Tools复制到主机,再从主机复制到win 7。在此输入命令./configure --enable-optimizations --prefix=/usr/local/python3/ && make &&make install。下载好后拷贝到kali里解压安装即可(最好是python3.7以上的版本,也不要选最新版,选择长期稳定的版本就行了。不过需要注意的是此命令运行是需要kali中配置了python的环境。进入root权限下。
在window10和kali子系统 WSL如何互传文件
qq_22132931的博客
02-04 1985
在window10和kali子系统 WSL如何互传文件
kali学习笔记】锁屏、快照、固定IP设置、文件传输
知远同学的博客
06-08 1323
有的时候需要给kali设置固定IP,测试远程的时候比较方便。可以通过桥接方式、或者NAT方式创建,根据自己的需要设置,这里如何设置不做介绍,只把路径介绍出来。关闭自动锁屏对于测试人员来说,可以按照自己的习惯来设置,不然kali会过十分钟就锁屏,有的时候会比较不方便。关机创建快照,快照比较小,也可以开机创建快照,但是快照比较大,也有优势,开机创建的快照启动比较快。1、使用root账号登录,在display设置选项中做如下设置。2、Kali 的DNS配置地址:/etc/resovl.conf。
文件上传+下载+文件删除
dsaggdsd的博客
07-30 227
<dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.4</version> </dependency> //文件上传 @RequestMapping("/upLoad") public String dab(Multipart.
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
05-06
它们可能是应用程序的组成部分,比如message可能包含了用户交互的信息,admin.css可能是后台管理界面的样式文件,upload和download目录可能分别用于文件上传和下载的操作。这些文件可以帮助我们理解整个环境的结构和...
web-渗透-文件上传漏洞专题靶场.rar
03-14
本靶场为二十一个关于文件上传漏洞的环境,从前端绕过、服务器绕过、木马图上传绕过、截断绕过、竞争条件等等几乎包含目前所有的文件上传漏洞类型,刷完即掌握文件上传漏洞的所有要点。 文件中打包了所需的所有环境...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
最新发布
05-08
这个PHP开发漏洞环境提供了学习和实践多种常见安全问题的机会,如SQL注入、文件上传、文件下载、跨站脚本(XSS)、弱口令、Session/Cookie管理以及购物逻辑漏洞等。下面将对这些知识点进行详细的阐述。 1. SQL注入:...
文件上传】FineCMS 2.0.1.zip
01-05
网络安全领域,针对文件上传功能的渗透测试是评估系统安全性的关键环节。本文将详细探讨FineCMS 2.0.1的文件上传机制、潜在风险以及如何进行安全配置和测试。 1. **文件上传机制** 文件上传是网站允许用户上传...
文件上传漏洞训练平台.zip
10-14
文件上传漏洞是网络安全领域...完成训练后,你不仅能够识别出潜在的文件上传漏洞,还能熟练运用各种技术进行渗透测试,同时也能为开发安全的Web应用提供指导。因此,这个训练平台对于提升网络安全技能是非常有价值的。
【反弹shell实验】
qq_45041683的博客
09-18 1112
一次小实验,记录下
kaliLinux
2301_77024414的博客
07-01 970
包括文件上传漏洞、XSS漏洞以及部分后渗透内容,实验在kali和win10操作系统下进行进行,所用工具为nmap、蚁剑
kali渗透综合靶机(六)--FristiLeaks靶机
W小哥
03-11 1411
一、靶机下载 下载链接:https://download.vulnhub.com/fristileaks/FristiLeaks_1.3.ova 二、FristiLeaks靶机搭建 将下载好的靶机环境,用VMware导入即可使用,文件->打开 导入到合适位置即可,默认是C盘,成功导入虚拟机之后,打开即可 三、攻击过程 kali IP:192.168.27.128 靶机IP:192.1...
vulnhub DOUBLETROUBLE: 1靶机
小小猪的博客
09-06 319
直接上传,访问/uploads/users/目录,可以看到上传成功。可以获得个半交互模式,发现有个ova文件,开启python进行下载。下载脏牛的文件,这里要下载到kalikali开启服务进行下载。rockyou.txt文件需要解压,第一次用的要去解压一下。在在线的shell生成中,生成shell。访问80端口,觉得存在sql注入。ssh进行登录,获得root权限。看到有张图片,猜测存在信息。首先扫描出靶机IP地址。再次扫描靶机IP地址。查看版本,存在脏牛漏洞。下载.deb文件安装。搜索awk提权方式,
渗透系列之windows文件下载
kukudeshuo的博客
07-11 1430
在遇到目标服务器是windows服务器时,此篇文章能帮到你windows如何在命令行下面下载文件达到反弹shell的效果
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8326
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
有道云笔记 渗透测试文件上传核题wp
10-12
有道云笔记是一款文件管理和云存储平台,用户可以将各种文件上传至云端进行保存和管理。针对有道云笔记的渗透测试的文件上传核题,主要是测试目标是否存在文件上传漏洞。 文件上传漏洞是指攻击者通过上传恶意文件或者利用上传功能绕过限制,成功在目标服务器上执行任意代码或者获取未授权的访问权限。攻击者可通过上传特定类型的文件,利用后台执行逻辑漏洞或者文件解析漏洞,从而实现对目标系统的攻击或控制。 针对有道云笔记的文件上传漏洞,常见的测试方法包括: 1. 尝试上传各种类型的文件:测试能否上传系统可执行文件、脚本文件或者危险的文件类型。 2. 绕过后台验证:尝试修改请求报文、绕过文件类型检查、篡改上传文件路径等,测试服务器是否能正确地执行上传操作的检查。 3. 文件解析漏洞测试:测试上传的文件是否能够被服务器直接解析,并且触发对应的解析漏洞。 4. 文件重命名与遍历:测试能否修改上传文件文件名,并尝试通过../等目录遍历操作访问到其他敏感文件。 针对发现的漏洞和问题,需要将测试结果整理成详细的渗透测试报告,包括漏洞描述、危害程度评估和修复建议等。然后与有道云笔记的开发团队和管理员进行沟通,提供测试结果和修复建议,并跟踪漏洞修复进展。 及时发现和修复文件上传漏洞,对于保护用户数据和防止潜在的攻击十分重要。因此,有道云笔记应该充分重视渗透测试的文件上传核题,加强安全意识和漏洞修复的流程,确保用户数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值