八期的小学弟也能拿下一些企业的后台

xiaoc   ·   发表于 2020-02-22 21:31:25   ·   实战纪实

零,说明

  1. 因为最近疫情在家没事干。学完课程了也想着练练手
  2. 看看能不能挖掘一下src
  3. 所用工具:
  4. 御剑、sqlmap

第一步之找漏洞网站

  1. 按照之前学的,信息收集是挖掘src的重点。
  2. 我们稍微用一些谷歌语法:
  3. inurl: php?id=xxx 有限公司 集团


第二步之找网站漏洞

  1. 根据上述,发现一个站点可能会有Sql注入漏洞
  2. 直接“ - ”测试,
  3. 结果可以解析,

第三步之利用sqlmap爆库

  1. 因为是挖掘Src,我还是挺推荐大家使用工具的,
  2. 毕竟效率很高。当然,有些站点是工具跑不出的,还是得依赖手工
  3. 在这我直接祭出sqlmap


第三步之深入探究

  1. 按理来说这已经,可以提交sql注入src
  2. 但是,小弟还想深入探究一下,爆出admin账户密码还可以提交弱密码
  3. come on !
  4. 稍微深入一下,直接爆出敏感内容


第四步之收集探测后台地址

  1. 祭出“御剑”,直接目标扫描
  2. 记得,当初聂风老师信息收集课曾讲到:
  3. 子域名收集、端口扫描、目录扫描是挖掘src的关键
  4. 同学们要记住!


第五步之登录后台

  1. 其实,到这里。已经很简单了
  2. 挨边打开那些网址,找到后台,直接登录

==分割线=


第六步

  1. 看到最后了,请帮忙点个赞吧~~~

补充:

当时比较年轻,想的是万一是一个普通的权限。上传木马,然后控制服务器。
通过修改配置文件把普通的用户权限改为网站管理员权限。

其实假如都传马成功了,服务器都拿下了。也不用在不在乎是不是网站管理员权限了。

在这声明两点,第一假如成功拿下服务器,不要瞎搞人家的服务器。比如增删改服务器的一些文件或者其他设置。第二,成功上传木马的情况也可以在提交一个文件上传漏洞。

不过在挖掘src之中,甚至是项目之中都不能直接传木马。大家一定要慎重,别今天上了月榜或者拿到cnvd证书,明天就进去。且行且珍惜!!!

用户名金币积分时间理由
yangqiding 2.00 0 2020-05-19 09:09:18 非常棒啊
奖励系统 100.00 0 2020-03-07 16:04:20 投稿满 10 赞奖励
abcd 4.00 0 2020-02-29 12:12:02 一个受益终生的帖子~~
奖励系统 50.00 0 2020-02-25 21:09:48 投稿满 5 赞奖励
ibin2019 1.00 0 2020-02-25 14:02:27 一个受益终生的帖子~~
admin 50.00 0 2020-02-23 17:05:17 支持!

打赏我,让我更有动力~

203 Reply   |  Until 1个月前 | 3383 View

mcav
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

林太阳
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

病毒裁缝
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

bai521
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

892333263
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

feiwu
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

8期3班滑稽王
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

pppjjj
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

zjq199708072008
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

895515845
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

guidie
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

by盛夏
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

bzdsr
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

乐伟超
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

夕阳红
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

大草原
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

j1tax
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

13479614281
发表于 2020-2-24

评论列表

  • 加载数据中...

编写评论内容

crustsalt
发表于 2020-2-25

评论列表

  • 加载数据中...

编写评论内容

项小羽
发表于 2020-2-25

评论列表

  • 加载数据中...

编写评论内容
1 2 3 4 5 / 11 跳转 尾页
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者