记某次渗透测试

最新推荐文章于 2024-06-20 16:25:01 发布
最新推荐文章于 2024-06-20 16:25:01 发布
阅读量154 收藏
点赞数
我爱怎么写就怎么写 爱看不看
本文链接:https://blog.csdn.net/zuoside__lord/article/details/113058966
版权

hhhhhh 主要写一下不足和过程。

过程很简单,找到一个有xx漏洞的网站 利用payload,利用过程中出现了各种错误,比如总是返回404

总结:哪怕报错也是可以利用的 它报错它的 我connect我的 不一定影响结果。docker逃匿 虚拟机逃匿都需要了解了解

          网上的poc满天飞没有几个好用的还不如msf,工具有时候也会出现错误 不能全部信赖

          自己要清楚各种日志目录 后渗透要清除痕迹 急需国外云服务器 自己kali不要用常用id 不要暴露自己……

          可以直接在web浏览器上连接远端不过还是需要隐匿技术比如跳板机之类如果想更大目标

接下来我要对后渗透处理还有主要的几个常见的中间服务组件了解了解比如xx提权比如phpmyadmin mysql IIS……

跃2.0
关注
专栏目录
某技术大学烂站的一次渗透测试
afei001
04-25 284
目录 1.前言 2.测试说明 3.信息搜集 4.渗透测试 4.1 目录浏览漏洞 4.2 Web整站源码泄露 4.3 网站重装漏洞 4.4 任意用户注册漏洞 4.5 敏感信息泄露 5.总结 声明:本次测试已授权。请勿非法渗透测试,否则后果自行承担! 1.前言 HW期间,接到大哥通知,某客户让我们测试一下网站:看看你们的水平,别到时候一直破(黑)不了。弟弟我很菜,只能试试啦。好吧,那就开始吧。 2.测试说明 目标URL:http://xx.xx.ed...
一次对某网站的渗透测试
白帽渗透笔记的博客
07-06 1256
今天正在开开心心的逛着B站,突然微信头像闪动,一看,原来是小黑让我帮忙给一个网站做安全检测,他说这是他叔叔的公司,然后直接丢给我一个链接。 初步测试 拿到网址,首先打开看了一下。 看起来比较简单,注意到右下角有资讯,随便点开一篇。 存在动态参数id,判断一下是否存在SQL注入,尝试使用?id=1586and1=1,直接提示参数非法! 然后继续尝试其他注入方式,依旧提示参数非法!没办法,只好祭出神器SqlMap,一顿操作。 sqlmap-u"http://www....
一次有趣的渗透测试
hl1293348082的专栏
03-25 468
最近在做渗透测试的练习中遇到一个比较有意思的站点,在此录下来,希望能给向我一样刚入安全圈不久的萌新提供一些基本思路吧。 在拿到目标站点的域名时,首要的工作肯定是进行一系列的信息搜集工作,具体搜集哪些信息以及怎么有效搜集,可以参考 Google 或者百度。 下面为了文章的简洁性,我只提及我会利用到的一些站点信息。 首先网站的真实 IP 并没有隐藏在 CDN 后面,直接在 ThreadBook 上查看同 IP 的旁站,显示足足 189 个! 看到这个数的时候,说实话内心是沉重的,虽然可以从众多的旁
一次网站的渗透测试
Hacker_DB的博客
04-14 855
朋友叫我帮忙,对一个网站做一下测试。主要目标是看看能不能进入服务器,收集一些建站者信息。 朋友平时待我不薄,此时怎可出言拒绝?经过授权后,直接开搞! (情景发生时间距今较久,请各位读者酌情参考) 用扫描器扫了一下,没有发现漏洞。发现网站存在CDN: 看了下历史解析录,还好不多。通过判断,确定最后一条为真实IP: 查看下IP绑定的网站,查到3个域名,其中一个无法访问,另一个是个后台: 我们先来看这个后台: 随便输入一个账号和密码,提示数据不存在: 扫了下目录,只扫出个upl
渗透测试[Metsaploit]
qq_48814526的博客
05-25 399
msfconsole工具和各类渗透方法的使用。
一次某单位的内网渗透测试
黑战士的博客
06-20 696
网卡信息、补丁信息、杀毒进程、用户在线情况、是否存在域、翻文件查找数据库密码、浏览器保存密码、查看路由等。使用越权加文件上传拿到shell。192.168.xx.x 管理员。通过哥斯拉上线msf。
某平台的一次简单渗透测试
HBohan的博客
11-17 2463
目标 某平台系统(www.target.net) 流程 本次渗透测试的流程图: 【技术资料】 测试 拿到站点后先做信息收集,扫描目录看看有无敏感信息 寥寥无几,没有任何信息,启动burpsuite打开网站走一遍流程。 在创建目标处存在图片上传接口,上传shell试试。 没有任何过滤,可直接上传,但当前目录不解析,猜测projectKey控制上传路径 可跨目录上传,但当前/webapp/test/uploadFile/路径非网站根目录,爆破了常见网站目录但没有一个是正确的解析shell的,先放
一次渗透测试信息收集(证书+c段+历史漏洞搜索)
爱玩游戏的黑客的博客
12-21 1172
信息收集(证书+c段+历史漏洞搜索)
渗透测试之三内网跳板
习惯积淀的博客
05-23 4545
搭建内网的转发跳板 当成功控制一个网络中的一台主机后,由于后面的主机都在内网中无法访问,所以需要在跳板机上搭建代理,实现对内网中的其他主机的访问 portfwd是一款强大的端口转发工具,支持TCP,UDP,支持IPV4–IPV6的转换转发。并且内置于meterpreter。 攻击机: 192.168.1.5 Debian 靶机: 192.168.1.4 Windows 7 192.168.1...
一次完整的渗透测试
LiuWang0314的博客
05-21 2293
目录前言掉坑起因(通达OA前台任意用户登录)掉坑过程一(上传webshell问题)掉坑过程二(cmdshell提权问题)如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 本次渗透测试过程大概是这样的:通达OA前台任意用户登录-上传webshell-获取相关信息-提权c
一次对某企业的渗透测试实战
dfdhxb995397的博客
06-25 1779
作者:Vulkey_Chen 前言 本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了突破口。so没有绝对的安全,所谓的安全性其实都是相对的~ 信息踩点 在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。 信息难点: 传输加密: 要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过某产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的...
一次简单的渗透测试流程
qq_45773001的博客
07-21 732
一次简单的渗透测试(从信息收集到远程桌面登录) 一.信息收集 你是否做了足够的信息收集? 第一次拿到这个页面之后尝试了用一些常用的密码登录,发现不可以登录; 之后查看页面源代码,审查元素发现得到一些信息,他是php语言,用的是IIS7.5; 然后进行端口扫描,目录爆破;(这里使用nmap和御剑) 扫描目录后发现www,zip是网站所有的目录,审查的时候发现了账号密码; 二.网页中的敏感信息 网站中经常会有一些敏感信息泄露出来 三.登录网站之后有没有新的漏洞发现 登录成功之后可以利用bp抓包分
渗透测试八个步骤【渗透测试流程】
公众号【伤心的辣条】资料领取~
04-24 3821
渗透测试遵循软件测试的基本流程,但由于其测试过程与目标的特殊性,在具体实现步骤上渗透测试与常见软件测试并不相同。渗透测试流程主要包括8个步骤,如下图所示: 下面结合上图介绍每一个步骤所要完成的任务。 (1 )明确目标 当测试人员拿到需要做渗透测试的项目时,首先确定测试需求,如测试是针对业务逻辑漏洞,还是针对人员管理权限漏洞等;然后确定客户要求渗透测试的范围,如IP段、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破.
第一次渗透测试的心得
sjtu_jzh的博客
08-09 3839
工作目标: 对█████████进行渗透测试 工作时间: 2018.██.██-2018. ██.██ 实际完成情况: 周█周█我们主要学习了nmap和burpsuite的使用,利用nmap对███████进行了端口扫描,发现██████的22端口可能存在可利用的漏洞,但是没有利用成功,当时并没有下一步思路。于是通过burpsuite进行抓包,在实现了对百度的抓包测试之后,...
基于java的校园美食交流系统设计与实现.docx
09-19
基于java的校园美食交流系统设计与实现.docx
#_ssm_126_mysql_实习支教中小学学校信息管理系统_.zip
09-19
均包含代码,文章,部分项目包含ppt
基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip
最新发布
09-19
基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip基于python的酒店评论中文情感分析系统源码+设计文档+数据集.zip 个人大四的毕业设计、课程设计、作业、经导师指导并认可通过的高分设计项目,评审平均分达96.5分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 [资源说明] 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设或者课设、作业,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96.5分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),供学习参考。
Metasploit渗透测试实战指南
"Metasploit渗透测试指南中文版" Metasploit是网络安全领域中的一款强大工具,主要用于渗透测试和安全漏洞的研究。《Metasploit渗透测试指南》是一本深入讲解该平台的专业书籍,由David Kennedy、Jim O’Gorman、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值