什么是渗透测试:某网站的渗透测试过程?
来源: 汇智知了堂
发布:
adminzhiliaot
发布时间:
2024-03-19
在网络安全领域,渗透测试扮演着至关重要的角色。它是对计算机系统、网络或应用程序进行的一种安全评估方法,旨在发现潜在的安全漏洞和弱点。那么,什么是渗透测试呢?本文将为您详细解读。
一、 信息收集
1. 网站界面
2. 网站信息收集
(1) 中间件信息收集
(2) 目录扫描
3. 服务器信息收集
4. 信息收集汇总
(1) 通过目录扫描发现
网站后台
http://192.168.7.109/admin/login/?next=/admin/auth/
网站命令控制台(要先登录)
http://192.168.7.109/dev/shell/
网站泄露账号密码页面
http://192.168.7.109/dev/
右击,查看源代码
二、 漏洞确认与复现
1. 解密base64得到密码
账号nick 密码bulldog
2. 使用网站控制台,发现命令执行漏洞,有过滤,可通过&拼接符绕过
3. 由于是py的站,让其用wget下载脚本并执行反弹连接脚本,在攻击机用nc侦听
脚本内容
侦听机
4. 得到shell
注:本文部分内容以及图片来源于网络,如网站发布的有关的信息侵犯到您的权益,请及时与我们取得联系删除