网络渗透步骤

最新推荐文章于 2024-06-26 16:27:15 发布
最新推荐文章于 2024-06-26 16:27:15 发布
阅读量2.3k 收藏 5
点赞数 1
文章标签: 网络 安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56709770/article/details/122843846
版权
这篇博客详细阐述了网络渗透测试的步骤,从信息收集开始,包括获取域名信息、查询服务器旁站和子域名、识别服务器软件漏洞,再到IP端口扫描和网站目录结构探测。接着介绍漏洞扫描阶段,使用开源工具检测XSS、SQL注入等各类安全问题。在漏洞利用部分,讨论如何获取webshell并进行权限提升。最后提到的日志清理和总结报告,强调了整个过程的安全性和后续修复措施的重要性。
摘要由CSDN通过智能技术生成

1)信息收集

        1,获取域名的whois信息,获取注册者邮箱姓名电话等。

        2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。旁站、C段入侵工具及技巧

        3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞

        4,查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等。

        5,扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针

        6,google hack 进一步探测网站的信息,后台,敏感文件

2)漏洞扫描

开源web漏扫工具        

开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,

        远程命令执

最低0.47元/天 解锁文章
erle311
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络渗透基本思路及方法
jingshuishenlong的专栏
03-17 4446
网络渗透基本思路及方法 网络渗透分为二个阶段:①信息收集,了解靶机的IP地址、操作系统、开放端口、服务版本号、发送和接收的信息;②根据靶机的操作系统版本和服务端口的版本号,直接用与之相匹配的漏洞攻击工具进行渗透攻击;或分析靶机发送和接收的数据并找到登录的账号密码或其它敏感信息来进行进一步渗透。 信息收集的常见方法举例如下: nmap –sP 192.168.1.0/24 //用ping包来探测这个网段存活的主机IP nmap 192.168.1.12 //普通探测该IP开放了哪些端口...
web渗透测试基本步骤
weixin_34313182的博客
03-05 1370
基本常见步骤: 一 、信息收集 要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。 2.用邮箱做关键词,丢进搜索引擎。 3.利用搜索到的关联信息找出其他邮进而得到常...
如何对一个网站进行渗透测试
HHH's Blogs
09-02 6966
摘要: 本文参考https://zhuanlan.zhihu.com/p/25605198 流程:获取书面授权--信息收集--漏洞扫描--漏洞利用--权限提升 切记要取得书面授权方可进行渗透测试。从行业惯例来讲,正规渗透测试都是需要厂商签署授权协议,并指定授权范围和要求的。 因此,有些白帽子的行为是非法的,非法的,非法的! 在获取书面授权的前提下。 1)信息收集, ...
【2024最新】渗透测试零基础入门教程,带你入门到精通(超详细),从看这篇开始!
最新发布
weixin_42340783的博客
06-26 770
其中,想要懂得多⽐较容易实现,多学习知识就⾏了,但是否能把知识⽤于⼯作,这就是解决问题的能⼒了,这个能⼒需要培养,也有的⼈解决问题的能⼒天⽣就⽐别⼈好,这也就是为什么有些学历低的⼈,却⽐很多学历⾼的⼈混的还要好的⼀个很重要的原因了。这种事情的最终⽬的是达到双⽅都愉悦的⽬的,谁主动都可以的啊。打个⽐⽅:⽐如电视剧《我是特种兵》⾥⾯的演习,特种部队(进攻⽅)渗透到蓝军(防守⽅)的指挥部进⾏斩⾸,如果斩⾸成功,那么就可以知道蓝⽅的防守能⼒不够好,需要改进,反之就是特种部队的特种作战能⼒不⾜,需要提升。
网络安全渗透测试的八个步骤
Button12138的博客
02-14 8054
网络安全渗透测试必看
网络渗透实验三.docx
01-10
网络渗透实验三 本实验旨在了解网络渗透攻击的基本原理和防御方法,包括 XSS 攻击和 SQL 注入攻击。实验环境使用 Kali Linux 2 和 Windows Server,工具包括 Beef、AWVS 和 SqlMAP。 XSS 攻击部分: * 了解 XSS ...
计算机病毒与防护:网络渗透概述.ppt
06-10
* * * * * 网络渗透概述 渗透测试基础 渗透(Penetration) HTTP的请求响应模型 无孔不入 固若金汤 千里之堤溃于蚁穴 蚁穴 安全缺陷和漏洞 渗透测试基础 网络渗透 迂回渐进的攻击长期有计划的渗透 渗透测试基础 网络...
渗透测试环境部署DVWA
10-29
总之,部署DVWA是学习和实践网络安全渗透测试的一个重要步骤。它提供了一个可控的环境,让安全专业人员和爱好者能够深入理解Web应用安全问题,提高安全技能,为实际工作中的安全防护打下坚实基础。
网络信息安全 渗透测试.docx
12-17
网络信息安全 渗透测试 渗透测试是网络信息安全中非常重要的一方面,它可以帮助我们发现系统中的漏洞,并对其进行修复和修补。下面我们将详细介绍渗透测试的相关知识点。 一、 渗透测试的定义 渗透测试是通过模拟...
网络渗透实验一.docx
12-13
网络渗透实验】是网络安全领域的一个重要实践环节,主要目的是理解和掌握网络侦察、扫描等基本技术,以及如何利用这些技术进行安全评估。本实验通过实际操作,帮助学习者熟悉常用的渗透测试工具,如搜索引擎、NMAP...
web渗透视频教程
12-24
web渗透视频教程共计28GB,只有你想不到的,没有我们做不到的快来学习吧,成为IT大牛你行的!!!
网络渗透攻击实训教程
12-03
黑客的基本攻击方法及原理,以及一些简单软件应用。 网络渗透攻击事件的发生极为普遍,众多的网络管理员和网络安全工作者却对网络安全环境所面临的严峻考验缺乏足够的认识,因而也未曾采取全面的防范补救措施应对各种攻击行为。《孙子兵法》曰“知已知彼,百战不殆;不知彼而知已,一胜一负;不知彼不知已,每战必败”。建立有效的防御体系的惟一障碍是知识的不足。不论你是一位信息安全技术的爱好者、一位IT专家或一名有经验的信息安全实践者,只要你想建立起一个有效的防御体系,就必须了解黑客们所使用的基本工具和手段。 以“网络渗透攻击”为切入点,就是要让实训对象认清网络安全环境和网络渗透入侵的一些普遍规律,并有针对性的补充知识和采取全面的防范补救措施,为网络防御提供事件依据和需求来源。力争打破常规实训体系,不同于普通实训书籍或培训机构的教学模式,实现由浅入深、由意识到技术分而治之的教学模式。 。。。。。。
渗透教程渗透教程
08-18
今天我们还是讲渗透、 只不过用到的工具不同 御剑孤独1.5+明小子 我是傻瓜先生 自从上次做了个 菜刀 +椰树的教程 我的站就被两个孙子给黑了 我实在看不下去。 我放出教程是为了让你们学习。你们却来搞我。 不多说了 教程开始 OK。还是一样 随便找个网站 http://www.zztiancaiedu.com/ http://news.jiaotou.org/ http://gz.ewangpai.com/ 就上次的这些站 需要等待一下 这里需要点时间我就暂停一下 OK,扫描好了 竟然没猜到 换一个 好吧再换一个 这里我们需要 MD5解密 OK。进后台了 可以邪恶了。 会的 可以传小马 代替数据库然后穿大马。 我这里就不详细讲解了。 欢迎各位来和我交流讨论 也希望有大牛来啊
渗透测试全过程
11-06
描述了渗透测试从信息收集、实施、渗透收尾的全部流程
渗透流程
朝阳似锦 晖映山河
01-27 711
明确范围 明确范围 确定规则 确定需求 信息收集 基本信息 系统信息 应用信息 版本信息 服务信息 人员信息 防护信息 漏洞探测 系统漏洞 WebServer漏洞 Web应用漏洞 其他端口服务漏洞 通信安全 漏洞验证 自动化验证 手工验证 实验验证 登录猜解 业务漏洞验证 公开资源的利用 信息分析 精准打击 绕过防御机制 定制攻击路径 绕过检测机制 攻击代码 获取所需 实施攻击 获取内部信息 进一步
网络基础】第14章 渗透简单流程
Seven Yang
12-15 182
本文是根据【千峰教育】网络安全工程师(共312集培训班全套)视频,整理所得的学习笔记。
网络安全渗透测试的八个步骤(一)
liuruo11000的博客
12-22 4833
​2.开放搜索:使用百度搜索引擎得到:后台管理、未经授权网页页面、比较敏感url、这些。​2.确定标准:能渗入到何种程度,所花费的时间、能不能改动提交、能不能漏洞利用、这些。​3.确定要求:web应用的漏洞、业务逻辑漏洞、工作人员管理权限管理漏洞、这些。​8.人员信息:注册域名人员信息,web应用中发帖人的cd,管理人员名字等。​1.确定范围:测试目标的范畴、ip、网站域名、内外网、检测帐户。​5,业务漏洞验证:若发现业务漏洞,需要进行验证。​3.基础信息:IP、子网、网站域名、端口号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值