The content is hidden and you need to reply to the topic before it becomes visible.
打赏我,让我更有动力~
功夫不负有心人 发表于 2018-6-21
.
加载数据中...
dk18397606232 发表于 2018-6-30
dk18397606232 发表于 2018-7-1
首先进行手工注入,发现存在注入漏洞,并利用漏洞进行注入攻击,获取管理员账户和密码
获得管理员密码之后发现这个网站并没有其他入口点,然后寻找其他入口点,进行旁站扫描发现另外一个站点,并且后台还是默认路径,这时候再次试一下是否存在注入漏洞,并发现有WAF过滤,这时候试着用cookie注入,并发现能够成功,最后获取此站的管理员账户密码,可是,密码是通过MD5加密的,我们可以通过MD5在线解密,成功获得密码。
最后登录后台发现,这是个假后台,然后我们可以通过后台扫描等工具,拿到了真正的后台,可是这个后台对登录者有识别功能,不过没关系,我们可以通过抓包来伪造我们的身份。最终进入了后台,但是不满足。于是继续,又发现了留言板存在xss漏洞。可以通过他来获得管理员cookie,进入后台上传木马,通过菜刀拿到了网站服务器的最高权限。。。。。。
黑8 发表于 2018-7-10
111
mrchen 发表于 2018-7-17
1
joker 发表于 2018-7-22
。
lcuflh 发表于 2018-7-26
emmm
weakchicken 发表于 2019-12-30
danxiaomeng 发表于 2021-3-20
木木
用户组:Track 综合学员
积分:526 金币:363.61
主题: 8 帖子: 22
© 2016 - 2024 掌控者 All Rights Reserved.
功夫不负有心人
发表于 2018-6-21
.
评论列表
加载数据中...
dk18397606232
发表于 2018-6-30
.
评论列表
加载数据中...
dk18397606232
发表于 2018-7-1
首先进行手工注入,发现存在注入漏洞,并利用漏洞进行注入攻击,获取管理员账户和密码
获得管理员密码之后发现这个网站并没有其他入口点,然后寻找其他入口点,进行旁站扫描发现另外一个站点,并且后台还是默认路径,这时候再次试一下是否存在注入漏洞,并发现有WAF过滤,这时候试着用cookie注入,并发现能够成功,最后获取此站的管理员账户密码,可是,密码是通过MD5加密的,我们可以通过MD5在线解密,成功获得密码。
最后登录后台发现,这是个假后台,然后我们可以通过后台扫描等工具,拿到了真正的后台,可是这个后台对登录者有识别功能,不过没关系,我们可以通过抓包来伪造我们的身份。最终进入了后台,但是不满足。于是继续,又发现了留言板存在xss漏洞。可以通过他来获得管理员cookie,进入后台上传木马,通过菜刀拿到了网站服务器的最高权限。。。。。。
评论列表
加载数据中...
黑8
发表于 2018-7-10
111
评论列表
加载数据中...
mrchen
发表于 2018-7-17
1
评论列表
加载数据中...
joker
发表于 2018-7-22
。
评论列表
加载数据中...
lcuflh
发表于 2018-7-26
emmm
评论列表
加载数据中...
weakchicken
发表于 2019-12-30
1
评论列表
加载数据中...
danxiaomeng
发表于 2021-3-20
1
评论列表
加载数据中...