我的渗透学习实验(一)
来源:互联网 发布:淘宝投诉电话人工服务 编辑:程序博客网 时间:2024/06/11 01:43
这次的渗透实验是在i春秋的在线挑战上做的,这是第一关,以后还会继续写一些自己的渗透学习过程,就当练习后的总结吧!写的可能不好有错误,希望大家指正,还有这些只是对自己实验的记录,如果大家要学习的话还是上i春秋吧,我怕误导大家(ps:i春秋真是一个学习的好网站!另外,我还是个新手。。。。)
题目:我很简单,请不要欺负我
要求:拿到服务器的权限
由于是渗透测试入门的题目,所以漏洞就很多。但是,我太弱而且接触渗透不久,所以这一题我还是参考了网上和论坛大佬们写的writeup,啊啊~~
理清思路。扫描漏洞->利用漏洞获取网站管理员密码和用户名->上传木马->在服务器上建立用户并获得权限。我当时做的时候思路不是很清晰,只知道用几个工具找找洞,然后登录到了后台,试了下上传木马并没有成功,不过这里由于好多方法并不知道所以就不知道咋做了。然后,就上网搜了一篇writeup,哈哈~~跟着做了一遍。
- 开始找漏洞。由于好多工具没用过,刚开始我根据以前做ctf的经验随便点开网页上的一个链接,发现url有get查询关键字是id,所以就想到了有没有sql注入,试了几下果然存在。然后我用了下啊d,扫出了用户名和密码,用户名是admin,密码是hash过的,这里我直接把密文抄下来在在浏览器上输入(谁能告诉我怎么把实验环境里的文本复制到外边。。。)解密到密码是admin888。
- 进入后台上传木马。用御剑扫描后台找到后台登录页面然后登录进去。我在后台找了几个编辑器,试着上传图片木马,可是点了上传没用没有弹出上传窗口。有看看御剑扫出来的url试了几个看似能上传的,而且确实有几个可以上传,但是不知道传哪了,唉。。又在后台找,看到上传管理进去发现没有刚才上传的文件,可能失败了。没忍住,我瞄了几眼writup,嘿嘿。原来还可以修改配置文件来写入木马的,涨姿势了。跟着writeup做了一遍果然成功了。
- 用菜刀链接木马url就是配置文件的url(inc/config.asp)进去跟着教程走了一便,上传了几个提权加破解3389的工具,还有一个获取管理员密码hash值的工具。由于题目问答里面有问服务器管理员密码,所以才需要获取吧。所有都搞完了之后回答一下问题,就得了100分,然后就可以坐下一题了。
另附我参考的教程点击打开链接
0 0
- 我的渗透学习实验(一)
- metasploit渗透测试学习笔记(一)
- kali----渗透学习一
- 我的渗透利器
- 我的Kali Linux渗透测试学习之路
- WEBSHELL姿势之不安全的HTTP方法(渗透实验)
- metasploit渗透学习日记一
- 《Python黑帽子 黑客与渗透测试编程之道》的学习(一)
- 余弦:我的渗透利器
- 渗透测试学习系列之《Metasploitable介绍》(一)
- 网站渗透思路(一)
- kali渗透测试(一)
- 一个人的武林:渗透测试常规思路分析(一)
- kali linux metasploit的web渗透测试(一)
- 我的Jquery学习笔记(一)
- 我的WCF学习(一)
- 我的APUE学习笔记(一)
- 我的NodeJs学习小结(一)
- 在C++中子类继承和调用父类的构造函数方法
- Centos7 下zookeeper3.4.9集群搭建
- 11300 - Spreading the Wealth
- HTML基础知识
- study-26:XenServer应用
- 我的渗透学习实验(一)
- ZooKeeper Watcher代码实例
- 用Mockito测试SpringMVC+Hibernate
- 欢迎使用CSDN-markdown编辑器
- Leetcode 27. Remove Element
- 算法里面的渐近记号
- 泰拉瑞亚Tshock服务器权限
- 6.2.6寄生构造函数模式
- 解决eclipse配置Tomcat时找不到server选项