记一次渗透测试实战

最新推荐文章于 2023-02-18 01:51:29 发布
最新推荐文章于 2023-02-18 01:51:29 发布
阅读量359 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/MiWhite/p/6117045.html
版权

0x00 渗透测试目标

目标:荷兰某厂商(不好意思,厂商信息不能写)

内容:渗透测试

0x01 信息收集

服务器:Microsoft-IIS/7.5

Web应用:ASP.NET

数据库:Access(数据库也太小了)

目标端口:扫描了没啥有用的。

Whois:

 

 

0x02 SQL注入

找到注入了。但是由于数据库太low,跑得太慢了,暂停深入。

0x03 猜后台&爆破

很容易猜到后台了,但是爆破不太顺利。估计密码设置超复杂,暂停不猜,继续换姿势。

0x04 未授权访问

发现网站在添加管理员页面存在未授权访问。(通过各种搜索引擎,搜索到的)

直接添加管理员,OK登陆了。

 

0x05 Webshell 上传

由于厂商没有上传Webshell需求,只是上传图片和测试页面。

 

 0x06 总结

熟知工具只是一方面,熟练运用很重要。

 

转载于:https://www.cnblogs.com/MiWhite/p/6117045.html

weixin_33690963
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kali Linux渗透测试实战
03-10
Kali Linux渗透测试实战 如果您之前使用过或者了解BackTrack系列Linux的话,那么我只需要简单的说,Kali是BackTrack的升级换代产品, 从Kali开始,BackTrack将成为历史。如果您没接触过BackTrack也没关系,我们从头开始了解Kali Linux。按照官方网站 的定义,Kali Linux是一个高级渗透测试和安全审计Linux发行版。作为使用者,我简单的把它理解为,一个特殊的Linux发 行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用。也可称之为平台或者框架。
一次对某企业的渗透测试实战
dfdhxb995397的博客
06-25 1774
作者:Vulkey_Chen 前言 本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了突破口。so没有绝对的安全,所谓的安全性其实都是相对的~ 信息踩点 在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。 信息难点: 传输加密: 要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过某产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的...
Web完整渗透测试实例
qq_34802511的博客
07-17 984
https://blog.csdn.net/qq_36197704/article/details/82991798
一次难忘的渗透测试
蚁景网安学院
08-30 543
0*00前言前几天,我一个朋友叫我帮忙测试一下他们公司的网站,本来我是不愿意的,但是无奈被一顿火锅收买了。0*01信息收集环境是php+apache端口扫描御剑扫一波目录御剑,发现rob...
网络安全、渗透测试、安全服务面试题
最新发布
07-01
因此,在面试前回顾并梳理自己的项目经历尤为重要,特别是那些成功的攻防案例、渗透测试经验、漏洞挖掘等实战经历,这些都能够为面试加分。 - **复盘准备**:在面试前,建议对参与过的项目进行一次全面的复盘,包括...
内网渗透的一次录 作者:Jaky.pdf
04-08
本文基于《内网渗透的一次录》这一实战案例,详细解析了内网渗透的具体步骤和技术要点。 #### 二、环境准备 在进行内网渗透之前,需要做好充分的准备工作。主要包括生成远控木马、部署木马以及设置监听环境等...
062-渗透测试之自力更生.pdf
09-20
【描述】:本文主要介绍了一次渗透测试的过程,通过使用本地搭建环境来复现测试场景,详细录了在渗透测试中的思路、遇到的问题以及解决方法。 【标签】:互联网 【正文】: 渗透测试是网络安全领域的重要环节,...
第2篇:Linux日志分析.pdf
04-22
- 录系统中所有用户最后一次登录时间的日志。 - 同样是一个二进制文件,需要使用`lastlog`命令来查看。 - 有助于了解用户的活动情况,对于维护系统的安全有重要作用。 8. **/var/log/wtmp** - 永久录所有...
第3篇:Web日志分析.pdf
04-22
- **案例1**:假设网站遭受了一次DDoS攻击。 - **步骤1**:确定攻击发生的具体时间段。 - **步骤2**:使用`grep`过滤出该时间段内的所有请求。 - **步骤3**:利用`awk`统计攻击源IP。 - **案例2**:发现网站存在...
一次渗透实战.pdf
08-14
一次渗透实战教程,里面详细载了渗透实战过程,通过漏洞概述、漏洞说明,是学员有清晰认识。
【渗透实战】web渗透实战,相对高安全级别下,详细分析整个渗透过程以及介绍社工的巧妙性,拿一站得数十站,(漏洞已交)
Taneeyo的博客
03-03 3094
‘’‘ 版权tanee 转发交流请备注 漏洞已经提交管理员 关键过程的截图和脚本代码已经略去。希望大家学习技术和思路就好,切勿进行违法犯罪的活动。本实战案例仅作为技术分享,切勿在未经许可的任何公网站点实战。 ’‘’ 前言:本次渗透交流的方法不是纯计算机网络的技术。而是一种巧解。其实大家都知道社会工程学很多时候就简单的理解为猜解。但是其意义远大于此,是一种心理角度上的宏观偏向值。一种无需依托任何黑客...
一次完整的渗透测试(文末有福利)
m0_63715896的博客
12-27 2597
我们学习安全时,常常会一直停留在某一方面,甚至不知道自己接下来要学什么,而提前了解我们整个渗透需要掌握的技术显得至关重要,这样我们在平时的学习中就会更加注重需要掌握的知识,接下来将通过一个完整的渗透过程来讲解我们需要掌握的知识。 环境图片信息收集使用netdiscover探测存活主机图片图片使用nmap扫描存活主机和开放端口图片使用wfuzz扫描子域名图片信息收集的知识点甚多,远远不止这么一点,这只是冰山一角信息收集可以说是渗透过程中最关键的一步,对目标充分的了解,有利于我们对目标进行全面的分析,后续的思路
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 2万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围三、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本三、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
某医院的实战渗透测试(组合拳)
LiBai'S BLOG
01-09 1万+
项目是内网环境下进行,所以通过vpn接入内网之后进行目标系统的测试。(信息泄露+redis写公钥)
某集团渗透实战
m0_60571990的博客
12-15 458
某集团渗透实战
Desploit渗透套件使用实战
庶钿的博客
03-04 1372
文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用。 在那晚,博主通过dsploit渗透测试软件以及自己的一些皮毛知识对班主任办公室局域网内所有个人电脑进行了一系列的渗透测试(恶作剧),这里只分享一小部分,其余的请大家自个儿琢磨。BWT,真的是紧张刺激的一晚。 dsploit简介 dSploit是一个Android网络分析和渗透套件,其目的是提供...
渗透测试实战 - 外网渗透内网穿透(超详细)
HAKUNAMATATATTA的博客
02-18 7516
渗透测试实验,外网渗透和内网穿透的详细操作过程以及内网代理和内网探测的方法
渗透测试实战:社工取密、SQL注入与Webshell提权
"这篇文档详细录了一次网络安全渗透测试的过程,从社工手段获取密码,到尝试SQL注入,再到绕过安全防护写入webshell,最后进行权限提升和内网渗透。作者首先遇到了首页无法访问的问题,然后通过试探性踩点在忘...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值