web渗透 - JunMo的博客-web渗透-web渗透测试笔记

JunMo的博客

2019
记录生活
首页 » 关于 web渗透 的文章共有8条
渗透测试

记一次渗透

JunMo 阅读(210)评论(0)

信息收集 主站为dede cms 测试爆破后台(无果),不可以注册用户. 子域名 得到两个有用处的网站: 一个网站也是dede的可以注册原来想测试一下伪造cookie登入 另外一个网站通过弱口令进去了。 获取webshell 登入进后台,发现可以编辑文件直接写入一句话。 在菜刀里面执行不了cmd的命令 上大马,成功执行命令...

热门
渗透测试

从文件上传到xss的一次getshell之旅

JunMo 阅读(171)评论(0)

前言 前段时间玩了个我的世界服务器,有官网但是是html的页面,但是玩了一段时间后说要开放一个在线的账号交易平台故事就由此展开了。 故事经过 打开网站是一个发卡平台,随手加个admin进到后台咦没有验证码,接下来肯定是爆破梭哈安排,没有成功,然后发现底部有个忘记密码点了没反应,还有一个按钮是下载程序点了跳转到一个博客但是里面也没有什么东西。 因为...

热门
学习笔记

巧用斯拉夫字母

JunMo 阅读(112)评论(0)

介绍 斯拉夫字母 (也叫西里尔字母) 百度百科  斯拉夫字母在网页中显示于普通文字字符一模一样,肉眼根本识别不出来。     大写斯拉夫字母:АВЕКМНОРСТУХЫЬ     小写斯拉夫字母:авекмнорстухыь     普通英文字母: ...

热门
学习笔记

sql注入绕过技巧

JunMo 阅读(98)评论(0)

注释符绕过 // -- /**/ # --+ -- - ; %00 --a UNION /**/ Select /**/username,password,from admin U/**/ NION /**/ SE/**/ LECT /**/username,password from admin ...

热门
渗透测试

记一次root注入拿shell

JunMo 阅读(202)评论(0)

前言 平时在学习的时候总会无聊,就指定端口80扫描了一波内网就有了接下来的故事。 过程 扫描到这样一个网站 访问一看是个oa,这里就不提供图片了。 先目录扫描,得到一个phpmyadmin,以及一些403的界面 然后在同一台的服务器上找到一个sql注入漏洞,还是root权限数据库为mysql 先试试看读取账号密码。 试过了所有...

热门
渗透测试

记一次毫无亮点的渗透

JunMo 阅读(278)评论(0)

到了晚上想看看电视剧网上随便搜索了个网站。 随手加个admin进入后台 然后通过某一种特殊手段得到了账号密码 后台首页 可能是我技术不到位拿不下shell,然后点友情链接,发现里面有几个同ip的网站。 打开网页是个博客站,加个admin进入后台,这里登入会显示是否存在该用户 经过几十次的测试终于得到账号,是二级域名的前面那...

热门
渗透测试

一次由洗衣服引起的无果渗透

JunMo 阅读(265)评论(0)

因为懒的洗衣服,学校有洗衣机可是要钱所以就有了接下来的故事。 洗衣机要先关注公众号,然后下拉得到网址用电脑去访问。 先点击个人资料修改一下资料是否有xss。测试是没有头像也是固定的。 然后就从,保修跟反馈下手,分别提交了xss 然后就打到了xss,激动的不得了以后就不用自己洗衣服啦。 随之而来的还有电话,打过来时候吓死了,没敢接...

热门
渗透测试

记一次简单渗透

JunMo 阅读(141)评论(0)

先信息收集 Microsoft-IIS/7.5 ASP.NET IIS7.5试一下有没有解析漏洞 可能是这个文件夹没执行权限。但是都试过了都没权限,开始考虑旁站。   旁站 www.xxxx.com 是个php站,检测有没有解析漏洞,发现是存在的 随手加个admin进到后台 试试看万能密码 成功进入后台 &...

热门
切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册