记一次真实的攻防记录-第2集

admin

138484
文章

114
评论

2023年6月25日09:25:57评论35 views字数 434阅读1分26秒阅读模式

记一次真实的攻防记录-第2集

文章背景

没东西发，再来水一篇。本篇文章所记录内容为一次真实的攻防渗透的记录，具体EXP以及IP部分会打码，主要给大家分享一些思路，以及自己也做一个记录……

真实记录

测试过程中发现旁站存在注入：

将数据包保存至文件，接下来尝试直接使用Sqlmap获取Shell，有人喜欢先判断一下权限，我就不了，我直接梭哈，有就有，没有就G。当时用的具体参数不太记得了，基本就是这样：

python sqlmap.py -r a.txt -p 参数 --level 3 --risk 3 --os-shell

Shell到手，目标是Windows服务器，可以先执行命令看看有没有回显，然后用搜索命令找到网站目录：

dir c: /s /b | find "关键词"

接着给它远程下马，在此过程中传了好几个马，访问都报错了……

记一次真实的攻防记录-第2集

但是正常的代码，是可以执行的，此处手动艾特哥哥：

喵的，上马，连接：

03、3

后续渗透

接下来突破内网隔离：

找到数据库配置文件，连接数据库：

原文始发于微信公众号（犀利猪安全）：记一次真实的攻防记录-第2集

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

AI防御措施

记一次使用无问AI绕过WAF文件上传

HVV重点保障工作清单

MCP 安全检查清单：AI ⼯具⽣态系统安全指南

Election靶机详解

容器漏洞101

AI幻想出的代码依赖构成新型软件供应链风险

撕开安全假象：一场无限逼近真实的勒索演练

网络安全研究：人工智能安全趋势研究

如何将高危的SQL注入提升为严重

AI防御措施

记一次使用无问AI绕过WAF文件上传

HVV重点保障工作清单

MCP 安全检查清单：AI ⼯具⽣态系统安全指南

Election靶机详解

容器漏洞101

AI幻想出的代码依赖构成新型软件供应链风险

撕开安全假象：一场无限逼近真实的勒索演练

网络安全研究：人工智能安全趋势研究

如何将高危的SQL注入提升为严重

本文由 admin 发表于 2023年6月25日09:25:57
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
记一次真实的攻防记录-第2集https://cn-sec.com/archives/1829972.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

记一次真实的攻防记录-第2集

AI防御措施

记一次使用无问AI绕过WAF文件上传

HVV重点保障工作清单

MCP 安全检查清单：AI ⼯具⽣态系统安全指南

Election靶机详解

容器漏洞101

AI幻想出的代码依赖构成新型软件供应链风险

撕开安全假象：一场无限逼近真实的勒索演练

网络安全研究：人工智能安全趋势研究

如何将高危的SQL注入提升为严重

AI防御措施

记一次使用无问AI绕过WAF文件上传

HVV重点保障工作清单

MCP 安全检查清单：AI ⼯具⽣态系统安全指南

Election靶机详解

容器漏洞101

AI幻想出的代码依赖构成新型软件供应链风险

撕开安全假象：一场无限逼近真实的勒索演练

网络安全研究：人工智能安全趋势研究

如何将高危的SQL注入提升为严重

发表评论

在线咨询

微信