记一次AI Web 2.0渗透测试过程

最新推荐文章于 2024-05-17 14:37:50 发布
最新推荐文章于 2024-05-17 14:37:50 发布
阅读量326 收藏
点赞数
分类专栏: 信息安全 文章标签: 安全 经验分享 程序人生 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48840076/article/details/108676321
版权

目录

目录 2

1.基本概况 3

1.1 基本信息 3

1.2 渗透环境及工具 3

1.3 渗透目标 3

2.具体渗透过程 3

2.1 整体概况 3

2.2 详细过程 3

2.2.1 确定IP 3

2.2.2 信息收集 3

2.2.3 漏洞扫描 3

2.2.4 漏洞利用 4

2.2.5 提权 4

3.总结 4

致     谢 5

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1基本概况

1.1 基本信息

当前服务器的基本信息:操作系统版本:kali 2019.4 x86-64

目标服务器的基本信息 :网站:apache 操作系统:ubuntu 18.04.3

 

1.2 渗透环境及工具

  系统环境:kali,ubuntu linux

工具: netdiscover,nmap,dirb,john,burp,hydra

 

1.3 渗透目标

目标,拿下root权限,获得flag

2.具体渗透过程

2.1 整体概况

首先确定ip,然后根据ip扫描端口,获取到了2个端口(22,80),然后查看主页源码,看到一个比较向敏感内容的注释,尝试在主页登录,但是失败了,之后又尝试着注册,然后登录进去,也没有什么内容,然后又看注释,看到了一个类似上传文件的代码,复制下来保存到本地,然后开始对网站目录进行扫描,扫描出三个页面,但是只有一个登录页面可以正常显示,然后80端口有文件包含的漏洞,通过这个漏洞获取到了,目标服务器的密码文件,获取到了两个用户名,然后使用hydra对ssh进行破解但是失败了,然后再用文件包含漏洞获取到.htpasswd文件,获取到了账号密码,然后登录到之前看到了登录框,成功登陆,然后里面提示有robots.txt文件,然后通过这个文件获取到(H05Tpin9555

最低0.47元/天 解锁文章
无上骄阳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5G网络安全,智能AI能否取代渗透测试NISP和CISP
liuruo11000的博客
08-29 2924
5G网络安全,智能AI能否取代渗透测试NISP和CISP
人工智能渗透测试分析系列AI机器学习
02-26
第一部分主要介绍常见机器学习算法,简单模型、以及机器学习如何分析Web异常流量,并把机器学习结合到大数据中。另外团队分析常见渗透测试工具中,常用的机器学习模型,最后学习所用,把机器算法结合到安全自动化...
看完这篇 教你玩转渗透测试靶机vulnhub——Ai-Web1
热门推荐
Aluxian_的博客
04-26 1万+
Vulnhub靶机Web1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:SQL注入: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 这是一个Web的漏洞靶机,老样子需要找到flag即可。 Vulnhub靶机下载: 官网地址:https://www.vulnhub.com/entry/a
AI在网络安全中的十大应用方向
最新发布
白帽子佳奇的博客
05-17 936
网络安全是当今社会不可忽视的重要议题,随着技术的进步和网络环境的复杂化,传统的安全手段已经无法满足对抗新型威胁的需求。然而,随着安全威胁的不断演变和复杂化,AI技术也面临着挑战,需要不断创新和完善,才能更好地应对未来的安全挑战。人工智能可以辅助安全分析人员分析安全数据,快速发现安全事件,自动完成安全事件的分析和响应,降低安全运营成本,提高安全运营的效率和准确性。通过统一的数据接入接口,可以从各种安全设备和系统中收集、整合和分析安全数据,为安全分析和决策提供可靠的数据支持。(安全链接,放心点击)
AI-Web-2.0
底层社会中的弱智
08-08 753
小总结: 目录遍历漏洞常见的位置,例如在前端中看到某些image标签<img src=/images?file=png>,那么这里就可能存在任意文件读取漏洞。当时看到这个框架存在任意文件读取漏洞,我就在想如果没有其他漏洞可以进行组合利用,我如何最大化的利用任意文件读取? 那就是利用默认的配置路径进行配置信息的读取,尽可能多的获得配置信息。 所以在在即搭建网站的时候要修改默认的端口,默认的路径,默认的密码,这些都是潜在的危险。 判断中间件的版本信息然后根据对应版本信息的默认路径进行文件读取。
VulnHub靶机 - AI:Web 2.0
狂吃三碗
04-28 507
VulnHub靶机 - AI:Web 2.0
极光无限渗透测试面经_AI自动化渗透测试平台“极光猎手”域名探测模块免费开放...
weixin_42517649的博客
01-03 744
帮助护网防守企业,探测影子资产,发现安全隐患。老虎,被公认为“兽中之王”,四肢强大,牙齿锋利。除了凶猛的外在,老虎还具备猎手的智慧。一个成功的猎手,一定是不动如石,蓄势待发,一旦锁定目标,便迅捷如风。而老虎天生就是这样猎手般的存在!如今,“猎手”这个词被赋予了新的含义。今天,极光无限AI自动化渗透测试平台——极光猎手正式上线,目前只开放“子域名探测”模块,免费开放一个月。平台入口:https://...
ai-web2.0
longwanlian的博客
11-21 188
​ 1、目录扫描​ 2、目录遍历​ 3、命令执行​ 4、find命令此时已经是root权限了使用find命令查找flag[外链图片转存中…(img-5S5e5d5A-1700564874662)]最后在来一首cat查看​ 1、目录扫描​ 2、目录遍历​ 3、命令执行​ 4、find命令​ 5、lxd提权。
基于WEB2.0的电子商务模式.doc
01-08
Web2.0技术的运用,如大数据分析、个性化推荐、AI智能等,将进一步优化电子商务的运营模式,提高效率,降低成本,推动电子商务行业的持续创新和发展。 总结,基于Web2.0的电子商务模式不仅改变了传统的商业模式,也...
AI人工智能2.0:每个人的人工智能课.rar
04-05
AI人工智能2.0:每个人的人工智能课》是一门深度探讨人工智能领域的最新进展,特别是聚焦于ChatGPT这一热门话题的课程。本课程旨在帮助每一位学员深入理解人工智能的基础概念,掌握其工作原理,并了解ChatGPT如何...
超级智能城市2.0-人工智能引领新风向.pdf
01-04
研报:超级智能城市2.0-人工智能引领新风向 证券投资必备。 超级智能城市2.0 全球城市化的进程依然以不可阻挡的趋势向前推进,到2050年,接近70%的世界人口将生活在城 市。人口大国中国和印度所在的亚洲将成为...
WEB泡泡堂2.0(图形界面+电脑对玩)(javascript)
10-31
WEB泡泡堂2.0(图形界面+电脑对玩)(javascript)】是一款基于JavaScript开发的在线游戏,它模仿了经典的游戏“泡泡堂”。在这个版本中,游戏已经从纯文本字符界面升级到了图形用户界面(GUI),并且增加了与电脑AI...
实战项目之AIWEB2靶场渗透
胖虎的博客
11-05 1328
AIweb2靶场渗透测试
VulnHub靶场之AI Web 2.0
A_dmin的博客
06-26 1405
VulnHub靶场之AI Web 2.0 用vm打开靶机,运行kali和靶机 首先肯定查看kali的ip地址,然后使用nmap命令:nmap -sP 192.168.80.0/24扫描主机: 接下来扫描端口,nmap:nmap -p 1-65535 -sV 192.168.80.129: 开放了ssh端口和http端口~~ 老样子,先不管ssh端口,先去看看web网站,,, 发现需要登录,,,...
AI Web 1靶机渗透实战-vuluhub系列(一)
PANDA墨森的博客
06-27 1236
这是vulnhub靶机系列文章的第一篇,接下来这段时间会分享曾经做过比较接近实战的靶机,把思路分享给大家... 靶机下载链接:https://www.vulnhub.com/entry/ai-web-1,353/ 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13172299.html #001 环境搭建(nat) 攻击机kali:192.168.136.129 靶机AI-web-1:192.168.136.142 #002 实战writeup 寻.
AI该如何运用于Web渗透测试?
Ms08067安全实验室
04-08 125
点击星标,即时接收最新推文AI+网络安全案例:AI助力GitHub工具回溯国内行业内首个AI+安全培训班,AI时代还在苦苦学习不如让AI为你打工。AI+安全=捷径让AI打工=薅公司羊毛AI=下一个安全趋势本期AI特色AI助力-BypassAI助力-密码学入门AI助力-情报收集与分析AI在应急响应下的使用场景内部圆桌课堂:共话AI+安全课程特点(1)零基础导入体系:0基础学习Web渗透,从0到1,理...
AI WEB 1.0靶场渗透思路
weixin_69010236的博客
07-25 462
12.跑出了两个表的名称,但是表内没有我们想要的数据,因为我们目录扫描的时候,没有扫描出后台的登录页面,所以说获取到账号密码也是没有用的,我们可以想到之前我们获取到了一个phpinfo的页面,存在路径,我们就去尝试获取shell。3.我们可以看到扫出两个目录,我们去访问一下,第一个/index.html什么都没有,我们访问第二个/robots.txt,可以发现/robots.txt下面显示还有目录,我们接着去访问。7.我们发现是一个phpinfo的网页,但是我们可以获取到有用的信息,比如IP地址和路径。
AI: Web: 2靶机-Walkthrough
ins1ght的博客
09-20 2262
AI: Web: 2靶机,中等难度靶机。目录爆破工具啊,漏扫工具啊每次还是多用几个,血的教训……
AI-WEB-2.0 靶机实录
gaopan2667002的博客
09-01 147
file_name=../../../../../../../../../../../../..//etc/apache2/.htpasswd获取到passwd文件。下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。的内容时,才需要使用robots.txt文件。--从哪里获取到的这个apache文件的位置,为什么要获取该文件。
web3.0和web2.0的区别
02-07
Web 3.0是一种概念,指的是下一代互联网的想法。它的出现是为了解决 Web 2.0 的一些缺陷,并在此基础上建立更先进的互联网。 Web 2.0是指当前使用的互联网,它是基于 Web 1.0 的升级版。Web 2.0 强调了互联网的交互性和可扩展性,并且在此基础上开发了许多新的应用程序和服务。 那么,Web 3.0 和 Web 2.0 的区别是什么呢? - Web 3.0 更加注重智能和个性化。它将使用人工智能技术,如机器学习和自然语言处理,来提供个性化的内容和服务。 - Web 3.0 更加强调数据隐私和安全。它将使用加密技术来保护用户的个人信息,并通过区块链技术来提供数据的可信性。 - Web 3.0 更加注重与物联网的集成。它将使用物联网技术,如 RFID 和传感器网络,来连接实体世界与互联网。 总的来说,Web 3.0 是一种更加智能、个性化、安全和物联网集成的互联网概念。它的出现将为用户提供更好的体验,并带来新的商业机会。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值