一个新手如何对网站进行渗透-WEB渗透社区-电脑端-X黑手网
X黑手网
点击查看-X黑手网
点击查看-X黑手网

一个新手如何对网站进行渗透

一、借助工具

AWVS扫描验证,除了验证还能帮我们学习漏洞。

Sql语句泄露

192.168.3.107/pentest/cms/beecms/article/article.php?id=1′”

Id参数处存在sql语句泄露

image

Page也是存在sql语句泄露

192.168.3.107/pentest/cms/beecms/article/article.php?id=4&page=\

 

image

修复建议:

编写标准404页面,且不返回报错信息。

泄露目录绝对路径

image

http头攻击

image

敏感信息泄露

view-source:http://192.168.3.107/pentest/cms/beecms/admin/template/

image

image

Jquery低版本漏洞(xss)

192.168.3.107/pentest/cms/beecms/template/default_en/images/jquery.js

image

Sql脚本泄露(高)

http://192.168.3.107/pentest/cms/beecms/beecms.sql

‘admin’, ‘21232f297a57a5a743894a0e4a801fc3’

image

  • 手工测试

信息泄露

http://192.168.3.107/pentest/cms/beecms/robots.txt

image

发现后门(高)

http://192.168.3.107/pentest/cms/beecms/shell.php

image

后台泄露并弱口令登陆

http://192.168.3.107/pentest/cms/beecms/admin/login.php

image

admin/admin

image

用户名、密码枚举admin

image

image

 

请登录后发表评论

    没有回复内容