记一次对某伪静态站点的渗透分析 | 您所在的位置:网站首页 › 如何渗透网站篡改网站 › 记一次对某伪静态站点的渗透分析 |
前言
今天给大家分享一篇我在初学渗透时对某网站做的渗透测试,在发布本文前文中涉及到的漏洞已经提交给相关厂商并且已经修复。由于特殊原因当时部分截图丢失,现已无法找回,所以截图给的不是特别全还请各位师傅谅解 0X011.首先来到网站的首页发现网站部署的有伪静态,并且前台页面有一个登陆入口点进去发现正是网站后台的登录入口。既然已经来到了后台的登录页面于是想着先手动测试了几个弱密码碰碰运气(可无奈运气太差) 2.在前几次输入密码时发现登录框的验证码为固定值,于是直接掏出了我的好兄弟burp对登录点进行爆破,我们将抓取到的数据包发送到lntruder模块准备进行爆破!
1.最终我们通过burp爆破成功的登录到了该网站的后台
3.文件上传无果后想起网站存在数据库备份功能,我们先新建一个文章,内容标题插入我们准备好的asp一句话木马,发布完毕后进行数据库备份。
5.抱着各种疑问,我进入到了备份的数据库页面进行分析,发现刚刚插入的一句话并没有被服务器解析!
成功Getshell! 文章到这就结束了,写的东西都比较基础还请各位师傅勿喷!! |
CopyRight 2018-2019 实验室设备网 版权所有 |