网络安全课程实战:有手就行的聊天室渗透测试
更新时间:2025-06-12
野生黑客,在线"接单"!想看如何"日站"的吗?
精彩过程尽在毒行侠!哦豁!
通过FOFA搜索引擎定位匿名聊天室目标
通过fofa搜索到聊天室
访问进去发现一个聊天室界面如下:
访问目标站点时发现:基础聊天室界面,存在图片上传功能模块
漏洞利用
上传检测阶段:
通过抓包分析发现可通过修改文件扩展名为.php实现绕过,确认请求接口为api.php
发现了一个图片上传功能:
发现可以抓包修改文件后缀进行绕过:
发现请求的地方位置是api.php,访问一下可以发现我们上传php木马的路径:
:https://xx.xx.xx.xx/uploads/684295e34373f.php
后门建立
我们尝试用蚁剑连接一下,因为这个站是https的,为了不必要的错误勾选上这个,忽略HTTPS证书。
进去之后发现还有一些站点,都在同一服务器下
横向渗透
我们发现同IP地址存在多个关联站点,定位至核心工具站点,发现这是一个工具站。
那么这些站点都在我们的掌握之中了。至少掌握了源码!root权限就不提了吧!友情测试,点到为止!
热门文章
-
1
新华三H3CIE-RS+认证培训,网络工程师进阶之路
上传:2025-08-18
-
2
新华三H3CIE认证培训机构怎么选?
上传:2025-08-07
-
3
金信润天携手上海外服武汉公司筑起暑期安全就业“金桥”
上传:2025-08-07
-
4
新华三交换机密码重置全攻略,两种方法轻松搞定!
上传:2025-08-07
-
5
2025“黄鹤杯”网安大赛校园宣讲动员会落地中南财大
上传:2025-08-07
-
6
金信润天铺就高质量就业之路,学子offer见证产教融合硕果
上传:2025-08-05
-
7
金信润天赋能人才成长,驱动数智未来
上传:2025-08-05
-
8
关于举办2025年“黄鹤杯”网络安全人才创新大赛的通知
上传:2025-08-05
-
9
2025年第十八期全国合作院校骨干教师技术研修班成功举办
上传:2025-08-05
-
10
校企携手,斩获2025年“中银杯”人工智能赛道三等奖
上传:2025-08-05
-
11
如何用渗透测试技术追踪电信诈骗,守护你的“钱袋子”!
上传:2025-07-15
-
12
诈骗团伙如何被渗透技术锁定?
上传:2025-07-15
-
13
金信润天携手汉江师范学院赋能基础教育,AI培训助力十堰东风21小学教师启航数智教学
上传:2025-07-14
-
14
湖北工程学院新技术学院领导一行莅临金信润天举行校企合作签约授牌仪式
上传:2025-07-14
-
15
毕业季趣味活动|以欢乐凝聚情谊,用笑声释放压力
上传:2025-07-14