记一次违法网站的渗透经历
0x01 前言
在一次攻防演练信息收集过程中,发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透。
末尾可领取字典等资源文件
0x02 SQL漏洞发现
到站点进行访问
利用插件查看站点为php
常规扫目录
前台
一键登录之后在新增地址处发现存在注入
0x03 进一步漏洞利用
此处提示需要get传参,在address.php请求处,随便填了个数字请求后,继续填写信息并抓包跑sqlmap
经过长时间的等待,发现存在布尔盲注和报错注入
接下来找站点后台管理地址
利用注入得到的账号密码登入后台
0x04 任意文件上传
寻找上传点
上传
访问路径
直接上传php抬走
至此拿下了这个站点,简单高效 一套带走!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
2023-05-09 关于Kerberos认证的一些攻击手法学习总结
2018-05-09 DVR登录绕过漏洞(CVE-2018-9995)