2021年中职“网络安全“江西省赛题—B-8:Web渗透测试

已于 2023-11-15 14:55:12 修改
阅读量2.2k 收藏 21
点赞数 8
分类专栏: 中职网络安全 文章标签: web安全 安全
于 2022-06-01 14:45:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57060854/article/details/125047783
版权

2021年中职"网络安全"江西省赛题—B-8:Web渗透测试

B-8:Web渗透测试

任务环境说明:
 服务器场景:Server03
 服务器场景操作系统:未知(关闭连接)

  1. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,将文件上传成功后的页面回显字符串作为Flag提交(如:点击超链接查看上传文件)

nmap -p- -sV ip

在这里插入图片描述

通过nmap扫描知道这个靶机含有网站,直接访问
在这里插入图片描述
首先映入眼帘的是一个美女,居然让我猜叫啥名字。这我还能不认识?直接输入iu或者李知恩
在这里插入图片描述
嘿嘿果然猜对了!
我们再次尝试输入“美女”,这次居然提示我输入错了……(无语😶)
在这里插入图片描述
通过URL我们可以看出这个好像是一个sql语句,二话不说我们尝试sqlmap进行注入
在这里插入图片描述
接下来获取数据库“webiu”中的所有表
在这里插入图片描述
获取数据库名"webiu"中表"iuser"中指定字段的数据
在这里插入图片描述
在这里插入图片描述
通过sqlmap我们获取到了这个管理员admin的账号和密码
通过nmap扫描知道443端口还有一个网站
在这里插入图片描述
我们访问https://靶机IP/ 发现是网站后台
通过刚刚我们跑出的账号密码登录 发现有一个文件上传 随便上传一个图片
在这里插入图片描述
在这里插入图片描述
flag:文件上传成功, 点击预览

  1. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用WHOAMI获取WEB当前的用户权限,并作为Flag进行提交;

攻击思路:上传图片木马
在这里插入图片描述
在这里插入图片描述
上传木马
在这里插入图片描述
点击预览
在这里插入图片描述
f12
在这里插入图片描述
把图片路径替换
在这里插入图片描述
使用蚁剑连接
注意网站证书没用了,我们忽略HTTPS证书
在这里插入图片描述
利用蚁剑虚拟终端查看当前权限用户
在这里插入图片描述
flag:apache

  1. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令获取到当前linux用户UID为5的用户,将该用户的用户名称作为Flag进行提交;
    在这里插入图片描述

  2. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令查看后台首页文件,将该文件的第二行的所有字符串作为Flag进行提交;

我们接着看后台首页文件,也就是index.php

在这里插入图片描述
在这里插入图片描述

flag:session_start();

acaciaf
关注
  • 8
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
中职网络安全技能大赛-Windows操作系统渗透测试
Jay
04-02 3146
Windows操作系统渗透测试 第一步,打开网络拓扑,点击启动选项,启动实验虚拟机 第二步,使用ifconfig或ipconfig命令获取地址 确认渗透机ip地址:172.16.1.100 确认靶机ip地址:172.16.1.200 1.通过本地PC渗透测试平台Kali2.0对服务器场景p100_win03-22进行系统服务及版本扫描渗透测试,并将该操作显示结果445端口对应的服务版本信息字符串作为Flag值提交; 进入kali命令控制台使用nmap工具 Flag:Microso
2023网络安全竞赛——Windows操作系统渗透测试Server2124
旺仔Sec&blog
05-21 4043
2023网络安全竞赛——Windows操作系统渗透测试Server2124
中职网络安全比赛之Web综合渗透测试
cike_y
02-17 1014
一次关于关于中职比赛目的web渗透页面的笔记,有什么不懂的都可以找我。
2021中职网络安全江西省赛—B-2:Linux操作系统渗透测试
weixin_57060854的博客
05-23 5582
2021中职"网络安全"江西省赛—B-2:Linux操作系统渗透测试学习交流B-2:Linux操作系统渗透测试 学习交流 学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542 B-2:Linux操作系统渗透测试 任务环境说明:  服务器场景:Server06  服务器场景操作系统:Linux(版本不详)(关闭连接) nmap -p- -sV ip 扫描靶机端口 使用命令msfconsole打开Metasploit渗透测试平台,使用search命令搜索模块mysql暴力破解模
网络安全最全CTF-WEB篇 攻防世界目实战 每日一练,最新网络安全高级面试汇总
最新发布
2401_84248681的博客
05-14 791
还有兄弟不知道网络安全面试可以提前刷吗?费时一周整理的160+网络安全面试,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问不大。对于有1-3工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2021中职网络空间安全最新国赛赛解析仅代表自己的建议——zz-网络安全(6)解析
PushSafe
05-27 731
2021全国职业院校技能大赛(中职组) 网络安全竞赛试 (6) (总分100分) 赛说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
中职网络安全竞赛B模块Server2129-Windows操作系统渗透测试
Leekk_01的博客
04-06 573
将Accpet-Encoding的gzip,deflate之间的空格删掉否则无法生效,将Accept-Charset添加并将系统命令编码为Base64。开启了3389的远程桌面服务,可以直接通过Burp Suite更改管理员用户的密码,然后登录查看DNS信息。√服务器场景:Server2129(关闭链接) √服务器场景操作系统:Windows。√服务器用户名:未知。
2023内蒙古自治区中职网络安全-B模块
06-01
内容概要:2023内蒙古自治区中职网络安全,主要考点为web,系统安全,misc,数据分析。 适合人群:正在学习网络安全的小白,和在中职网络安全比赛的选手,具备一定的网络安全知识体系基础。 能学到什么:①...
中职网络安全 2021湖南省省赛解析
04-20
中职网络安全 2021湖南省省赛解析 还有其他资源赛 环境 靶机 有意者私
2021中职组“网络安全”国赛赛
12-19
通过本项目竞赛,使中职学生能熟练运用网络信息安全技术 对网络、操作系统、应用、服务器等目标进行信息和数据安全防 护与渗透,具有分析、处理现场安全的能力,促进学生团队 协作实践能力,引导等职业学校...
2022中职组“网络安全”赛项广西竞赛任务书-B模块
05-04
在这个赛项,B 模块主要测试了参与者的网络安全知识和技能,包括 SSH 弱口令渗透测试、Linux 操作系统渗透测试、远程代码执行渗透测试等多个方面。 下面是对 B 模块每个任务的详细解释和知识点总结: B-1 SSH...
Webiu:建立和维护网站是任何企业或组织的一项基本任务。 该项目旨在通过在 Gatsby Js 框架的帮助下开发“通用网站构建器”来简化网站启动和运行的工作流程。 个人将能够利用这个通用平台来插入所需的模块并根据要求配置数据源,为他们的组织构建自定义网站
07-24
网易 建立和维护网站是任何企业或组织的一项基本任务。 该项目旨在通过开发可重用的 Gatsby 组件来简化网站启动和运行的工作流程,这些组件可轻松插入以轻松创建 Gatsby 网站。 使用 Webiu 搭建的网站: ://www.scorelab.org/ 安装 该项目基于 ReactJs、JavaScript 和 GatsbyJs。 您需要确保安装了兼容版本的 node/yarn、npm。 本项目使用 SASS 作为样式表。 初始设置 将存储库分叉为您自己的副本https://github.com/ <Your> /Webiu.git 克隆本地系统的存储库git clone https://github.com/ <Your> /Webiu.git 本地开发设置 您需要在系统安装 Gatsby CLI 转到官方 Gatsby 文档并进一步设
P10-经典赛-Linux操作系统渗透测试.docx
03-29
中职网络安全解析,P10-经典赛-Linux操作系统渗透测试,MySQL数据库弱口令,nc高位端口链接
2023网络安全比赛--Web综合渗透测试中职组(超详细)
Aluxian_的博客
02-08 2102
1.通过URL访问http://靶机IP/1,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;2.通过URL访问http://靶机IP/2,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;3.通过URL访问http://靶机IP/3,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;4.通过URL访问http://靶机IP/4,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;
web渗透——服务器远程管理
weixin_44321116的博客
08-24 423
一、远程管理类型 windows远程管理有两种: 1.远程桌面(图像) 2.telnet(命令行) 二、远程桌面 拓扑图 步骤: 右击网上邻居-》属性-》tcp/ip 测试是否可以互通 开启服务器远程桌面 建立一个普通用户a,密码是a win xp远程连接win2003服务器 远程连接到2003服务器后登录a用户会发现无法登录 在win 2003服务器添加a用户到远程桌面用户组 winxp重新使用a用户远程连接2003服务器 三、telnet 将用户a加入tel
windows渗透测试
Aluxian_的博客
05-25 9092
假设您是一名网络安全工程师,需要对某公司的公司进行黑盒测试,分析windows操作系统有什么漏洞并提出解决方案。 1.通过本地PC渗透测试平台Kali2.0对服务器场景Windows2020进行系统服务及版本扫描渗透测试,并将该操作显示结果8080端口对应的服务版本信息字符串作为Flag值提交; 使用nmap -sV -n 靶机IP flag:Microsoft IIS httpd 5.1 1.2. 通过本地PC渗透测试平台Kali2.0对服务器场景Windows2020进行渗透测
2021中职网络安全江西省赛—B-8:Web渗透测试 2022中职组“网络安全”赛项吉安市竞赛B-1:数据库服务渗透测试
qq_61988806的博客
03-02 1571
2021中职网络安全江西省赛—B-8:Web渗透测试 2022中职组“网络安全”赛项吉安市竞赛B-1:数据库服务渗透测试
【网络攻防实训习
xiongIT的博客
07-05 1275
网络攻防练习
web渗透测测试(sqlmap)
m0_58713554的博客
12-24 3309
通过分析靶机JLS02页面信息,寻找漏洞页面,将WEB服务存在SQL注入漏洞页面名称作为Flag提交 Flag:index2.php 通过本地PC渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用来存放WEB服务的数据库名称作为FLAG提交 先随便输入点什么 sqlmap这个地址 sqlmap 使用注入语句结果如下 flag:webiu 3. 通过本地PC渗透测试平台KALI2020对靶机进行SQL注入攻击,获取靶机的数据库信息,将用...
2023中职网络安全江西 web安全渗透测试
09-22
2023中职教育网络安全课程将会涉及江西web安全渗透测试江西是我国重要的经济和科技发展地区,网络安全日益凸显,因此对于这一领域的本地人才培养尤为重要。 首先,课程将着重培养学生的基础知识,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

acaciaf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值