渗透测试:渗透流程思路(当拿到一个WindowsIP,演示weblogic漏洞cve-2020-14882)

已于 2024-01-13 13:39:22 修改
阅读量121 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络 安全
于 2024-01-12 12:33:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54626591/article/details/135543639
版权
网络安全 专栏收录该内容
166 篇文章 4 订阅 ¥299.90 ¥399.90
订阅专栏

渗透流程思路(当拿到一个WindowsIP)



渗透思路

  1. 收集目标信息

  2. 针对信息进行访问

  3. 判断目标指纹,是否存在已知漏洞X利用历史漏洞拿到目标机器权限

  4. 如何进行后渗透测试?

一. 搭建靶机

因为配置WebLogic 比较麻烦,这边选择用docker部署vulhub,为了利用win103389远程桌面

当然也可以在Linux环境下搭建Windows远程桌面环境

昨天已经搭建好靶机,今天只要直接启动即可

在这里插入图片描述
docker没有完全启动,启动完成即可

靶场有两种方式启动
在这里插入图片描述

在这里插入图片描述

搭建靶机教程:

Windo

了解本专栏 订阅专栏 解锁全文
坦笑&&life
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
渗透测试的8个步骤
cldimd的博客
07-15 770
渗透测试流程 渗透测试与入侵的最大区别 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。 入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。 一般渗透测试流程 流程并非万能,只是一个工具。思考与流程并用,结合自己经验。 2.1 明确目标 确定范围:测试目标的范围,ip,域名,内外网。 确定规则:能渗透到什么程度,时间?能否修改上传?能否提权等。 确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?.
Weblogic GetShll&CMD;漏洞检测利用工具.rar
08-20
渗透测试中使用,可以用于检测weblogic漏洞并执行CMD命令,获取服务器权限,本程序仅供检测和学习用途,请勿用于其他任何非法用途!
渗透实战:内网域渗透_内网渗透实例
最新发布
2201_75735270的博客
05-10 755
本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。
渗透测试-weblogic攻防环境搭建拿shell
lza20001103的博客
04-13 1944
渗透测试weblogic攻防环境搭建拿取shell
渗透测试系列:weblogic文件路径确认(cve-2020-14882
weixin_54626591的博客
01-12 1076
weblogic文件路径确认(cve-2020-14882
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 8492
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
CVE-2020-14882&14883 Weblogic 管理控制台未授权远程命令执行漏洞复现
ierciyuan的博客
07-30 996
CVE-2020-14882&14883Weblogic管理控制台未授权远程命令执行漏洞复现。提供相关软件包(网盘)
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
Weblogic漏洞CVE -2017-10271解决方案-附件资源
03-02
Weblogic漏洞CVE -2017-10271解决方案-附件资源
Weblogic全版本反序列化漏洞利用工具.jar
07-03
Weblogic全版本反序列化漏洞利用工具.jar
Weblogic-CVE-2019-2725补丁升级方法.docx
11-08
Weblogic-CVE-2019-2725补丁升级方法详解》 WebLogic Server是一款由甲骨文公司开发的企业级应用服务器,它为构建、部署和管理企业级Java应用程序提供了全面的平台。然而,随着技术的发展,安全漏洞的出现是不可...
内网渗透靶场02----Weblogic反序列化+域渗透
jklove9的博客
02-08 1173
由于目前获取的机器是Administrator权限,因此可以直接运行getsystem获取机器的system权限,到目前为止,机器192.168.111.80机器完全被控制。通过访问weblogic登录页面可知,weblogic目前的版本是10.3.6.0,上网搜索当前weblogic版本历史上爆出过哪些漏洞?只能通过192.168.111.80开放80,7001端口进行入手。直接访问80端口发现没什么可以利用的点。7001通常是weblogic的默认端口,直接访问weblogic默认登录界面,
记一次简单的域渗透-从Web站点上线不出网内网主机-痕迹清理
weixin_45965246的博客
09-17 529
配置信息DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域web IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogin 10.3.6 MSSQL 2008PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用:攻击机 IP:192.168.111.1 OS:Windows 10(64) IP:192.168.111.5 OS:K
超详细渗透测试流程
difination的博客
03-03 1347
越来越多的网站以及app手机端客户注重安全渗透测试服务,上线前必须要对平台进行全面的预渗透测试找出安全漏洞以及BUG,很多客户找我们,做渗透测试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透测试方法流程大体写的全面一点给大家呈现。 这是今天找app渗透测试的时候发现一个大佬写的,他把这个文章归类在app渗透测试了,其实下面的内容主要是web渗透测试的,这里他总结了中间件的漏洞和一些框架的漏洞。是我一直想学习的内容。 渗透测试 一、渗透流程 信息收集 漏洞验证/漏洞攻击 提权,.
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 7723
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
CVE-2020-14882 WebLogic远程代码执行漏洞测试环境搭建
m0_63558213的博客
09-01 1725
CVE-2020-14882 WebLogic远程代码执行漏洞测试环境搭建,远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console,并在 WebLogic Server Console 执行任意代码。
Vulhub靶场之weblogic漏洞复现
weixin_66717977的博客
03-21 1446
vulhub靶场上weblogic漏洞复现
Weblogic RCE漏洞CVE-2020-14882&14883:复现与影响版本解析
近期,两个关键性漏洞 CVE-2020-14882CVE-2020-14883 被发现,这些漏洞的存在使得未经授权的远程攻击者能够通过精心构造的GET请求,在受影响的Weblogic Server上执行任意代码。这两个漏洞影响了多个版本,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值