【渗透实战】拿下一个智能交易网站经验分享
2018-02-23 12:51
453 查看
以后这类文章都会打码,只是单纯做技术分享!在群里,有人在直播R站,有站那就一起搞嘛~存在注入
存在过滤
发现可以大小写绕过然后,顺手就是启动sqlmap --tamper space2comment.py
很多朋友可能遇到这样的情况就没办法了然后就是重点了!!!我们自己写一个py脚本,原理就是手工注入去猜解
OK,成功得到账号密码提示一下,这个网站旁站还挺多的,有的是类似的方式可以拿到
登陆后台,发现编辑器FCKeditor 1.0版本没啥GG用,然后御剑扫描一下,发现一个upload.asp尝试了文件上传截断,发现找不到文件看了看服务器的信息
尝试一下解析漏洞OK,可以的,我们直接访问upload.asp文件上传图片马,然后菜刀链接没有跨目录权限,提权菜鸡,以后再说吧~最后来一张合影
存在过滤
发现可以大小写绕过然后,顺手就是启动sqlmap --tamper space2comment.py
很多朋友可能遇到这样的情况就没办法了然后就是重点了!!!我们自己写一个py脚本,原理就是手工注入去猜解
OK,成功得到账号密码提示一下,这个网站旁站还挺多的,有的是类似的方式可以拿到
登陆后台,发现编辑器FCKeditor 1.0版本没啥GG用,然后御剑扫描一下,发现一个upload.asp尝试了文件上传截断,发现找不到文件看了看服务器的信息
尝试一下解析漏洞OK,可以的,我们直接访问upload.asp文件上传图片马,然后菜刀链接没有跨目录权限,提权菜鸡,以后再说吧~最后来一张合影
相关文章推荐
- 对一个行业网站推广经验分享
- 网站DDOS攻击防护实战老男孩经验心得分享
- 网站DDOS攻击防护实战老男孩经验心得分享 【转】
- 一个很好的编程学习网站(电子书,教程,经验分享等等):http://www.ccrun.com/index.asp
- 总结16种网站渗透技巧经验分享
- 网站安全实战经验分享
- 网站目录结构优化实战经验分享【转】
- 网站DDOS攻击防护实战老男孩经验心得分享
- 将一个网站在一个月内将四个关键词都做到第一页的经验分享
- 第九课堂-经验与技能分享交易网站
- 幻影CEO分享实战SEO经验:企业网站优化如此简单
- 分享经验,做一个好用的扩展性好的网站管理系统
- 网站DDOS攻击防护实战老男孩经验心得分享
- [网站安全] [实战分享]WEB漏洞挖掘的一些经验分享
- 做完一个小网站的一点经验总结(1): asp.net 与access数据库结合
- 实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
- loading.io一个loading图标网站,跟大家分享
- 国内外三个不同领域巨头分享的Redis实战经验及使用场景
- Android实战简易教程-第六十枪(分享一个城市选择功能模块)
- 分享一个WebGL开发的网站-用JavaScript + WebGL开发3D模型