2019年6月3日

网站入侵后的日志分析

摘要: 文件上传 通过日志分析找到上传点 将找到的上传点复现找到shell.php文件 修复:文件的后缀白名单,或者设置黑名单,对不需要的格式进行过滤 Sql注入 通过日志分析找到sql注入使用的payload 使用一下发现错误,于是使用百度搜索一下找到可以使用的payload http://127.0.0 阅读全文

posted @ 2019-06-03 20:57 小二班开讲啦 阅读(609) 评论(0) 推荐(0)

一次完整内网渗透

摘要: 1暴力破解 进入网站发现有登陆,开启代理,启动burp进行暴力破解 成功破解获密码为admin23 2sql注入 在如下注释出发现sql注入 使用sql map成功跑出网站后台账户与密码 使用somd5破解密码为mysql123 3获取shell 访问域名192.168.31.196可得到探针,从中 阅读全文

posted @ 2019-06-03 16:55 小二班开讲啦 阅读(539) 评论(0) 推荐(0)