攻防_渗透流程

已于 2024-01-19 10:53:21 修改
阅读量380 收藏
点赞数
分类专栏: 攻防 文章标签: 安全
于 2021-11-24 17:19:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redglare/article/details/121520444
版权
这篇博客详细阐述了在登录前后的网站安全检查过程,包括信息收集(目录扫描、URL分析、输入点识别)和漏洞发现(如SQL注入)。登录后,重点增加了对上传和留言等功能的检查,同时提到了XSS和文件上传漏洞。内容聚焦于网络安全和Web应用安全测试的关键环节。
摘要由CSDN通过智能技术生成

登入前:

1:信息收集:
目录扫描
所有链接界面
分析url
网站所有的输入点

2:漏洞发现
sql注入

登入后:

1:信息收集:
目录扫描
所有链接界面
分析url
查看网站功能模块(例如上传、留言等)
网站所有的输入点

2:漏洞发现
sql注入
xss
文件上传

赤年
关注
专栏目录
对某泛微OA的一次渗透测试_利用方式三
afei001
06-07 801
后来才知道,是可以getshell的,看了表哥们的文章才知道,泛微对于堆叠查询做了过滤,过滤了;、--+等特殊字符。原来SQLserver堆叠注入并不需要;,所以SQLmap是无法直接--os-shell的。可惜当时并不知道不需要;就把洞交了。又少了好几个W。唉。
红队攻防渗透技术实战流程:红队攻防流程详细大纲
HACKONE的博客
03-24 785
撰写报告详细记录攻击过程、发现的漏洞和安全风险,以及收集到的数据等信息分析与总结对攻击结果进行深入分析,总结经验教训,提出改进建议。汇报与沟通将报告和分析结果向相关人员或团队进行汇报和沟通。
渗透攻击详解
07-06
1、探测信息 2、利用漏洞得到管理账号密码 3、找到后台 4、登录后台取得web权限 如果发现直接有上传漏洞就可以利用
完整渗透测试过程讲解
09-04
完整渗透测试过程讲解
网络安全实战攻防演练应急处置预案_网络安全技术攻防演练方案
yy1715713348的博客
02-16 1641
(1) 蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。(2) 收到钓鱼邮件。(3) 短网址替换真实网址,欺骗用户访问。(4) 防恶意软件,防火墙,入侵检测系统告警。
华为云CTF cloud非预期解之k8s渗透实战
渗透测试研究中心
01-19 599
前言最近对云安全这块比较感兴趣,学了一波k8s的架构和操作,正好遇上了华为云的这一场比赛,收获颇多。(甚至通过非预期拿下了平台题目集群的最高权限)。0x00 题目入口发现拿到题目发现是一个类似于提供IaaS服务的站点,扫描了一波目录,发现几个文件以及路由:phpinfo.php robots.txt admin/ login/ static/挺奇怪的是,在一个存在phpinfo的环境下发现了一个...
网络渗透攻防
weixin_67847630的博客
04-07 590
1、Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 192.168.1.
渗透流程--信息收集篇
m0_55563900的博客
03-27 2427
收集对象 :http://www.dotahacker.com/ 一、whois信息收集 1、站长之家whois查询:http://whois.chinaz.com/ 2、爱站网whois查询:https://whois.aizhan.com/ 3、万网whois查询:https://wanwang.aliyun.com/?utm_content=se_1006856273 4、网址:https://www.iana.org/whois 5、站点法人信息查询 (1)法人姓名查询和官方 企查查 查到
xsser_platform:《 Web安全攻防渗透测试实战指南》 XSS测试平台原始码
03-23
这个平台是《Web安全攻防渗透测试实战指南》一书中的实践工具,提供了对XSS漏洞进行探测和分析的功能。"原始码"表明这是该平台的源代码,意味着我们可以深入了解其工作原理并根据需要进行定制或扩展。 【描述详解...
红队攻防渗透技术实战流程:云安全之云原生安全:特权模式和挂载模式
HACKONE的博客
05-18 167
红队云攻防实战1. 什么是云 1. 什么是云
matlab集成c代码-ctfgoals:该存储库是FOTCloudCTF
05-22
Matlab集成的c代码 该项目在Hacktoberfest-2018期间处于活动状态,目前未维护。 如果您正在寻找Hacktoberfest的贡献,那么这里是另一个很棒的仓库: 你好,世界 所有可能的编程语言中的Hello World 目标 该存储库最终应包含所有可能的编程语言中著名的“ Hello World”程序。 如何为这个资料库做贡献 使用顶部的“加星标”按钮为该存储库加注星标。 使用顶部的“叉”按钮单击叉存储库。 在您的PC上克隆分叉的存储库。 在您的Git bash或任何具有git支持的终端上使用此命令: git clone url 。 现在,使用以下命令创建一个新分支: git branch branchname ,然后通过以下命令使用该分支: git checkout branchname 。 继续进行更改。 进行更改后,请使用以下命令添加更改: git add filename ,然后git commit -m "message here" 。 之后,使用以下命令: git push origin branchname 。 创建一个请求请求,然后等待请求合并。 如何
渗透测试流程图.zip
04-06
这份"渗透测试流程图.zip"文件包含了详细的渗透测试过程,主要目的是帮助IT专业人士和安全工程师理解并实施这一过程。其中的"渗透测试流程图.pdf"很可能是以图形化的方式详细展示了每个阶段及其相互关系。 渗透测试...
红队攻防渗透技术实战流程:云安全之云原生安全:K8s搭建及节点漏洞利用
最新发布
HACKONE的博客
05-21 624
Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。
通达OA系统11.2漏洞
qq_50854662的博客
12-02 5183
以通达OA系统11.2版本为案例的Web渗透
2022CTF培训(十)IOT 相关 CVE 漏洞分析
sky123博客
12-31 2054
这里选择的设备是一款家用路由器,型号为 D-Link DIR-850L(EOL)。由于该款路由器已停产,官网无法下载到固件,不过目前这个还能下载到相关的固件,当然附件中也会提供需要分析的固件。
CTF综合靶机渗透
xv66666的博客
08-11 1147
虚拟机难度中等,使用ubuntu(32位),其他软件包有:PHPapacheMySQLBoot to root:从Web应用程序进入虚拟机,并获得root权限。靶机:使用VMWare打开虚机,网络连接方式设置为net,靶机自动获取IP。攻击机:同网段下有Windows攻击机,安装有Nmap、Burpsuit、Sqlmap、nc、Python2.7、DirBuster、AWVS、Nessus等渗透工具,kali攻击机,主要用Windows攻击机完成实验。ip发现启动Billu_b0x虚拟机,由于虚机网络设置为
CTF-Web渗透(入门|笔记|工具)
小谢的博客
01-01 2769
CTF-Web渗透(入门|笔记|工具)主要是记录自己之前学习web渗透的笔记以及工具的分享,可能不全
渗透学习-CTF篇-web-CTFshow(仅有部分,持续更新中,254-259关))
qq_43696276的博客
03-20 1548
本文将主要介绍CTFshow的关卡攻略,至于基本的原理请参考本人的其他介绍漏洞原理的博客。
网络渗透——CTF实践
Woolemon的博客
12-10 2616
这里写目录标题实验目的实验原理什么是CTFCTF竞赛模式CTF各大题型简介实验步骤和内容发现目标 (netdiscover),找到WebDeveloper的IP地址查看目标主机端口开放、服务情况(NMAP扫描)利用浏览器访问目标网站whatweb探测目标网站使用的CMS模板wpscan功能Dirb 爆破网站目录Wireshark分析该数据包,分析TCP数据流利用上一步得到的信息进入网站后台利用该CMS存在的(插件Plugin)漏洞进行提权其他方案SSH登录服务器实验总结 实验目的 通过对目标靶机的渗透过程,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赤年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值