渗透测试(一)Node渗透

最新推荐文章于 2022-03-15 20:56:20 发布
最新推荐文章于 2022-03-15 20:56:20 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: 渗透测试靶场 文章标签: 靶机 渗透测试 安全 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42484187/article/details/121286982
版权

渗透测试(一)Node渗透

一、实验环境

攻击机:kali 192.168.150.131
靶机: node(https://www.vulnhub.com/entry/node-1,252/) ip未知

二、实验过程

  1. 信息收集:IP、端口
  2. 代码审计:访问api
  3. 解密数据:获得敏感信息
  4. 系统内核漏洞提权

三、实验步骤

信息收集

**扫描网段192.168.150.0/24,**获得目标ip:192.168.150.129
在这里插入图片描述
**扫描主机192.168.150.129,**开启了22和3000端口
在这里插入图片描述
3000端口是node.js的默认端口,访问3000端口,
尝试对url进行目录爆破,未有收获。

前端代码审计

**js代码检查,**发现诸多api接口;

最低0.47元/天 解锁文章
W_Stars
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Vulnhub练习)--Node渗透实战
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
09-20 284
(vlunerable练习)–Node渗透实战 下载地址 http://www.vulnhub.com/entry/node-1,252 此文章是参照大佬橘子女侠的文章写的 以下为我跟着他的文章整理的笔记 扫描主机(netdiscover) sudo netdiscover -i eth0 -r 192.168.100.0/24 目标主机IP:192.168.100.152 端口扫描 nmap -A 192.168.100.152 指纹识别 whatweb 192.168.100.152:3000
【技术学习】一次Node.js站点渗透
HBohan的博客
03-10 2288
前言 遇到一个站,后端是Node.js写的,对于这种类型的站点,一般比较难getshell,但也实现了最终的目标,拿到后台权限 信息搜集 先进行常规的信息搜集,子域名扫描、端口扫描、目录扫描等 这个站后端脚本语言是Node.js 目录探测发现404界面也极像Node.js的404页面,后面重点关注js文件 突破接口 点击查看【相关技术学习文档】 在进行目录扫描的时候,发现了一个有用的目录: 前面说了,重点关注js文件,查看页面源代码,发现一个有趣的js文件,为什么说这个文件有趣呢?因为这个js的文件
从零开始学习渗透Node.js应用程序
dfdhxb995397的博客
04-18 176
本文来源于i春秋学院,未经许可严禁转载。 0x01 介绍简单的说 Node.js 就是运行在服务端的 JavaScript。Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。Node.js是一个事件驱动I/O服务端JavaScript环境,基于Google的V8引擎,V8引擎执行Javascript的速度非常快,性能非常好。Node.js使用Modul...
渗透测试 Node.js 应用
u012996572的博客
04-21 282
Node.js是单线类型服务,这也意味着,任何善意或恶意的DOS将直接导致服务挂死,所有接入的客户端离线,所以做好采用负载均衡的多实例方式。本文将列举Node.js常见的漏洞类型,并一一介绍在实际中如何利用。 阅读全文:渗透测试 Node.js 应用 了解更多前沿技术资讯,获取深度技术文章推荐,请关注CSDN研发频道微博。 欢迎加入“CSDN前端开发者”群,与更多专家、技术同行进行热点、...
渗透测试
daoer_sofu的专栏
08-18 971
声明:转载请指明来自华夏联盟(www.hx95.com),违者必究! 文章作者:sofu456(部分资料参考,已在最下角列出) 1.wireshark     1.1 抓包分析                1.TCP flags标志(wireshark抓包tcp协议flags)                      FIN:结束,结束会话                      ...
assaultjs:在 Node 中进行渗透测试和利用
06-24
# Assaultjs 在 Node.js 中进行渗透测试和利用。 请访问该项目的页面以了解更多信息。 网站: : GitHub 存储库: : IRC(自由节点) :#assaultjs安装使用和测试: npm i -g assaultjs 可选。用控制台客户端: 从 ...
java安卓辅助源码-pentest-tools:渗透测试必备工具
06-04
-渗透测试必备工具 网上看到渗透测试工具总结不错的文章,转发过来供大家一起学习,链接为: 以及 如有问题,请联系我! WebGoat漏洞练习环境 Damn Vulnerable Web Application(漏洞练习平台) 数据库注入练习平台 用...
node-security-tools:命令行节点脚本的集合对于在节点环境中运行的渗透测试人员很有用
05-17
节点安全工具该存储库充当命令行节点脚本的集合,这些脚本对于在节点环境中运行的渗透测试人员很有用。例子:Netcat.js 侦听端口8000并返回命令shell。 node netcat.js --listen-port 8000 -c在端口80上连接到...
物联网开源组件安全Node-RED白盒审计.pdf
09-18
物联网开源组件安全Node-RED白盒审计 身份与访问管理 安全分析 AI web安全 网络信息安全
dirscan.js:Web 目录扫描,用于渗透测试-开源
07-18
用于扫描网络目录的工具,以识别有趣的事物。 基于词表和扩展表。 该软件是在 node.js 上开发的 - 递归网络扫描 - 倍数扩展 - 目录列表支持 - 彩色输出
node靶机下的渗透测试
jrdh的博客
09-14 255
node靶机下的渗透测试一:环境搭建二:实验流程三:实验步骤 一:环境搭建 二:实验流程 三:实验步骤 项目 项目 项目 项目1 项目2 项目3
教你通过Node.js漏洞完成渗透测试
weixin_34191734的博客
08-09 921
本篇文章较为详细的讲述了通过node.js的已知漏洞来完成渗透测试的过程,介绍了node.js存在的漏洞可以在多种工具下的不同利用方式。因为我认为会对论坛部分web安全新手有所帮助,所以整理到论坛中。 PentestingNode.js Application : Nodejs Application Security 原文地址:http...
渗透测试--vulhub-node
unexpectedthing的博客
03-15 3098
文章目录安装过程信息收集代码审计登录服务器也可以登录mongo数据库提权总结:参考: 安装过程 首先去官网下载node,下载mirror版本 https://www.vulnhub.com/entry/node-1,252/ 然后直接创建个文件夹,VMvare导入node。 配置网络: 在vm中的编辑一栏打开虚拟网络编辑器 打开那个更改设置,添加一个网络 最后需要在nodekali配置一个网卡,记住都要配置一个。 kaliifconfig命令,网络配置成功 信息收集 arp-scan扫描,获取同一个
渗透node.js经典问题
weixin_34179762的博客
07-06 120
1.循环问题 当循环调用 require() 时,一个模块可能在未完成执行时被返回。例如以下情况:a.js: exports.done = false; const b = require('./b.js'); console.log('在 a 中,b.done = %j', b.done); exports.done = true; c...
Node 渗透测试
Darklord.W
04-11 374
Node渗透测试 0x00实验环境 靶机node,IP地址:192.168.8.205 测试机:Kali,IP地址:192.168.8.145; 0x01实验流程 信息收集——主机发现、端口扫描 渗透测试 0x02实验步骤 netdiscover -i eth0 -r 192.168.8.0/24 Masscan以及nmap 进入web页面 尝试登陆: ...
渗透测试实战4——Node靶机入侵
浅浅的博客
04-25 1268
一、实验环境 攻击机(Kali):192.168.247.149 靶机Node):192.168.247.152 二、实验步骤 一)主动信息收集 1、主机发现 2、端口扫描 3、端口版本信息 扫描结果发现靶机开启了22 ssh端口和3000端口,且3000端口开放的是http服务。 二)端口探测 端口3000(http服务) 1、探测目录 因为htt...
靶机渗透测试实战(五)——Node渗透实战
橘子女侠
05-11 3388
目录 一. 实验环境 二. 实验流程 三. 实验步骤 (1)信息收集——主机发现 1. 查看Kali的IP信息;(IP:192.168.37.131) 2. 扫描主机(netdiscover) (2)信息收集——端口扫描 1. 扫描端口(masscan) 2. 详细扫描端口信息(nmap) (3)渗透测试 3000端口(http服务) 1. 访问目标靶...
靶机node练习:node.js框架的mogodb连接获取shell,通过Ubuntu16.04.3版本漏洞提权
7Riven's blog
12-27 558
主机发现 端口信息扫描 发现3000端口有node.js脚本,访问看看 其他部分为发现有用信息,去login看看 发现路径192.168.109.167:3000/api/users/……,尝试访问下 有了重大发现,很明显正确的admin用户密码进行了md5加密,解一下 得到用户名:myP14ceAdm1nAcc0uNT,密码:manchester,进行登录 ...
node 怎么测试方法
最新发布
01-11
Node.js中可以使用断言模块assert进行单元测试。下面是一个使用assert模块进行单元测试的示例代码: ```javascript const assert = require('assert'); // 定义一个待测试的方法 function add(a, b) { return a +...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值