- 博客(2)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 模拟攻击beescms框架网站,并且一步一步渗透测试,上传shell,连接蚁剑,拿到对方网站根目录
观看页面功能发现有文件上传,测试有没有上传漏洞,在网上寻找资料发现我们直接可以通过http://IP地址/admin/admin_file_upload.php来到文件附件上传界面,并且它允许PHP格式文件那么直接上传shell脚本文件发现上传成功,连接蚁剑。发现有4个参数有user,password,code,submit,把submit=ture修改为submit=false验证码就不会刷新了就是284c。发现密码不完整,用substr函数截取后面的 '~53b01a0eb~'开始攻击发现爆破不出来。
2023-11-06 11:35:28
990
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人