i春秋-渗透测试入门-你是会员吗?-解题思路

最新推荐文章于 2021-04-15 12:49:45 发布
最新推荐文章于 2021-04-15 12:49:45 发布
阅读量2.3k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vspiders/article/details/77587953
版权

这个题目还是有点意思,应该有很多种方案,这里我提供一种。

首先进入网站,发现是xdcms系统,然后其存在变量覆盖漏洞。

利用该漏洞可以拿到管理员账号密码。

之后进入后台,这里有个小技巧,在登陆界面或者后台界面存在文件包含漏洞。

找个上传点随便上传一个木马图片,获取木马图片路径

之后利用文件包含漏洞包含此木马路径,菜刀连之即可。

vspiders
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
i春秋在线挑战详细攻略-《你是会员吗》
wodafa的博客
03-15 5067
试验地址:http://www.ichunqiu.com/racing/54399 实验平台:i春秋 Step 0 实验环境 操作机:Windows XP [172.16.11.2] 目标网址:www.test.ichunqiu  [172.16.12.2] 实验工具:中国菜刀 实验目标:获取www.test.ichunqiu网站的FLAG信息,学习一些简单的提权方式
Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想
04-30
Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想 i春秋技术分享,将self-xss利用扩大化,奇思妙想可以借鉴。
i春秋 综合渗透
weixin_43940853的博客
08-13 281
https://bbs.ichunqiu.com/thread-35338-1-1.html 注意最后提权过程中cacls的用法
ASP木马实验(I春秋
qq_38684512的博客
09-10 358
ASP木马实验(i 春秋) 传送门 https://www.ichunqiu.com/vm/483/1?source=1 首先进入分配好的实验环境 打开Chrome 在我的电脑中使用FTP链接服务器 登陆结束 将文件上传至服务器(拖拉上传) 将下载好的dama.txt 和 xiaoma.txt 后缀名改为.asp上传到服务器 通过url目录访问ASP木马 成功 代码分析 ...
iChunqiu【竞赛训练营】你是会员吗?
fansnn的博客
04-15 271
题目地址:https://www.ichunqiu.com/experiment/detail?id=50679&source=1&otype=1 本次实验要求获取www.test.ichunqiu网站的FLAG信息。 这个环境有个大坑,导致在使用菜刀连接shell这一步几乎花了一个星期时间才成功。 首先打开试验环境,在试验环境中打开浏览器,可以看到这次要攻破的系统是XDCMS 百度搜索了一下,这个cms系统比较老了,有多处存在SQL注入漏洞。 参考链接:http://foreverson
春秋-在线挑战-综合渗透训练全部详解(更新中)
星语惜馨的博客
10-23 2587
        这次在爱春秋玩玩看它的综合渗透训练,这篇博客就做一个知识汇总好了,网上攻略很多,就多写一些注意要点和不同的方法,本人菜鸟级别,能过一关就更新一次。 我的新浪博客:http://blog.sina.com.cn/laomacanhu 》注意点:c盘的tools是工具包,最上面的场景拓扑图是本机和服务器ip,剪切板可以实现内外粘贴。 一、爱春秋-在线挑战-我很简单,请不要欺负我 ...
CVE-2019-16313.MD
03-20
CVE-2019-16313.MD
说明文档-Tigger1
08-03
RISC-V 中间表示 Tigger 语法说明 Tigger 是一种面向 RISC-V 的中间表示,用于寄存器分配的输出格式。它遵循简洁易读风格,被设计得与 Eeyore 很像。本文将详细介绍 Tigger 的语法结构和相关知识点。...
春秋云境 CVE-2022-4230 夺旗
最新发布
05-02
介绍如何 利用 CVE-2022-4230 的 WP Statistics WordPress 插件13.2.9 漏洞利用。 漏洞描述:WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。...
i春秋 CTF大本营 竞赛训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞赛训练营 200+道题目答案 竞赛包括冬令营白帽黑客专项训练赛之春秋杯等 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
第六章-旅行社信息化管理.ppt
11-20
- 旅游批发商模式:传统旅行社通过自有平台直接面向消费者,如春秋国旅。 - 中间商模式:如携程网,作为第三方交易平台,连接旅行社与消费者,提供代理服务。 2. B2B电子商务: - 垂直B2B模式:专注于某一领域的...
行业文档-设计装置-古钱币笔筒.zip
09-06
古钱币是中国古代文明的重要象征,自商朝晚期的贝币开始,经过春秋战国的刀布币、秦朝的半两和五铢,到汉唐宋元明清各代的各类铜钱,其形制、文字、图案都经历了显著的变化。设计上,古钱币通常包含了年号、重量、...
2010年江苏计算机二级VFP春秋-笔试考试答案.pdf
12-01
"2010年江苏计算机二级VFP春秋-笔试考试答案.pdf" 本资源是2010年江苏计算机二级VFP春秋笔试考试答案,涵盖了计算机基础知识、集成电路、数字技术、PC机主机、存储器、I/O接口、外存储器、光盘存储容量、Windows...
i春秋半月刊 - 安全技术资料汇总(共7份).zip
02-06
Python以其简洁的语法和强大的库支持,被广泛用于网络扫描、渗透测试和自动化脚本编写。通过学习这份资料,读者可以了解如何利用Python进行网络数据抓取、协议分析以及安全工具的开发。 2. **代码审计**(第二期_...
i春秋实验-肆虐的互联网泄密事件(撞库)
weixin_30627381的博客
03-09 498
http://www.ichunqiu.com/course/66 实验环境: 操作机:windows xp 目标机:windows 2003 实验网站: 目标网址:www.test.com whois:www.whois.com 模拟泄漏库:www.shegongku.com 实验文件: dzuckey.py 实验工具: 中国菜刀 实验步骤: 1、whois查询www....
SQL注入漏洞原理及防御(I春秋在线实验室,保存笔记)
weixin_30297281的博客
07-06 893
实验环境 漏洞介绍 认识SQL注入漏洞 SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。 要学会如何防御SQL注入,我们首先要对他的原理进行了解。 SQL注入(SQLInjection)是这样一种漏洞:当我们的Web app在向后台数据库传递SQL语句进行数据库操作时。 如果对用户输入的参...
i春秋登录
weixin_30701575的博客
09-16 1244
打开是个普普通通的表单提交网页 查看源码,没什么东西 抓包试试再 没找到什么有用的信息 尝试注入 用户名admin’or ‘1’=’1 密码随便输 弹出密码错误 再试试admin’or ‘1’=’2 弹出用户不存在 说明这里存在注入点,而且是盲注 构造payload:admin' or user() regexp '^a'%23 (使用java的正则表达式来进行盲...
i春秋_真的很简单_过程记录(坑吐了。。。)
等风来
09-19 9689
0x01 打开实验环境,根据提示打开实验工具dedeCMS (坑一) 等等,我的工具呢???在实验环境里提供的工具中有个dedecms5.7但是不好用啊 WTF??? 实在不行去网上搜了下攻略,发现要自己下载dedecms,一点提示都没有,,,好坑啊 如图,得到网站管理员账号密码 后面的明显是md5加密后的密码,不过数了数只有20位,百度后得知dedecms的特点就是这样 在线破...
i春秋CVE-2022-32991
08-12
我很抱歉,我无法回答你的问题。因为提供的引用内容与我可以回答的范围无关。请提供更明确的问题,我将尽力帮助你。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值