测试网站:http://001.lostcity.com

最新推荐文章于 2025-01-19 10:53:17 发布
原创 最新推荐文章于 2025-01-19 10:53:17 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过实战案例详细介绍了一次完整的渗透测试过程,包括SQL注入攻击、后台登录路径扫描、利用编辑器漏洞等步骤,最终实现了对目标系统的远程代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

测试网站:http://001.lostcity.com

1、sql注入

寻找注入点,并用工具渗透,找到admin用户和密码


2、扫描后台,找到后台登陆地址,起始地址:http://001.lostcity.com

用御剑扫描



3、用1、2扫描到的密码及地址,登陆后台



4、进入后台,发现上传文件的地方,尝试上传一句话木马,但上传失败





5、发现是编辑器是ewebeditor,尝试ewebeditor漏洞

右键查看源码,发现ewebeditor的路径




6、用御剑扫面ewebeditor后台登陆路径

起始地址:http://001.lostcity.com/admin/components/ewebeditor/





7、尝试ewebeditor默认数据库路劲



8、用工具打开数据库文件,导出需要的密码,并用MD5解密




9、用8解密的密码登陆ewebeditor后台


10、更改样式,若添加样式不成功,则拷贝原有样式进行添加


11.点击预览,进入上传图片界面,上传本地一句话木马

12.点击代码按钮,获取上传木马路径


13.使用中国菜单连接木马









玄瞋
关注
HTTP 接口测试平台(基于 python 语言开发)
KevinZhao475720456的博客
04-16 1040
QAPlatform 1、介绍 该系统是HTTP接口自动化测试平台,采用前后端分离开发,QAPlatform是该系统的后端程序,QAPlatformWed是该系统的前端程序。作者已将前端程序进行了打包,dist目录即为前端打包程序。 操作手册地址(持续更新中……)https://gitee.com/xiangjunzhao/QAPlatformDocs 平台登录信息 账号:13612345678 密码:123456 交流方式 QQ群:112967924 详情请移步:https:/
【PTA刷题】甲级 图
abyss_miracle的博客
09-23 490
图的遍历 1034 Head of a Gang 用时:70min 大意:给了N行通信(所以最多有两千个人->也就是节点),某几个人之间会形成社交网络。让你找出社交圈。社交圈是有条件的,比如边的权值要大于某个给定的K值。此外,社交圈的人数一定要大于两人。最后输出节点权值(该节点所有的边的权值之和)作为leader。还要输出这个社群的人数。 需要注意的事情: 1.社群中形成回路要如何遍历呢? 使用遍历过后马上删除这条边的方法 2.递归调用dfs之前,要先判断该节点是否被访问过。 3.翻译str和in
【接口开发】支持http请求的api接口测试网站,适合练习建议收藏!
强者征服今天,懦夫哀叹昨天,懒汉坐等明天。
09-02 955
返回成功状态(status)为:200 ,失败为非200,返回的JSON数据格式包括多个嵌套,用于测试比较复杂JSON格式的前端处理。返回5000条数据,每条内容都有标题、图片URL、缩略图URL,用于测试图片显示的场景。返回单条数据,内容都有标题、图片URL、缩略图URL,用于测试图片显示的场景。返回100条数据,每条内容都有帖子 ID、发贴人 ID、标题、以及简介。根据文章 ID 获取指定文章的数据,传递的参数为restful风格参数。6、获取单条人员数据带图片URL(GET请求,返回图片URL)
几个好用的测试HTTP请求的网站
热门推荐
Arthur Guo 的专栏
10-01 3万+
几个好用的测试HTTP请求的网站
http搭建静态网页测试
qq_44829421的博客
11-13 554
在Linux中搭建http静态网页
httpbin:测试 HTTP 请求及响应的网站
雨影的博客
02-22 1万+
httpbin这个网站测试 HTTP 请求和响应的各种信息,比如 cookie、ip、headers 和登录验证等,且支持 GET、POST 等多种方法,对 web 开发和测试很有帮助。它用 Python + Flask 编写,是一个开源项目。 官方网站http://httpbin.org/开源地址:https://github.com/Runscope/httpbin
LostCity-Server:Minecraft LostCity服务器源代码-Source City
03-25
LostCity-Server-Resources 这是资源代码。 您可以使用和更改它。(必须使用MIT许可证!)如果要使用它。 您需要知道什么是Minecraft服务器。 将来,我将为您添加一个Wiki。
LostCity-Server:Minecraft服务器开源资源代码发布
- "Minecraft LostCity服务器源代码-Source City" 揭示了该文件是对应于Minecraft(我的世界)游戏内一个名为“LostCity”的服务器模块的源代码,其中“Source City”可能意味着这是城市风格的Minecraft地图或模组的...
甲级 1013 Battle Over Cities
yuzhou_ln的博客
08-07 773
最后一排k个数,是k个要检查的城市代号,答案要求输出:如果这个城市丢失了,那连接剩余城市需要再添加几条路~6、别忘了集合数减一(两个集合需要一条路连接,三个集合需要两条路连接,以此类推……3、用isvisited数组标记已遍历过的城市,同时还要记得避开lostcity。4、每遍历完一轮,就等于(在丢失那个城市)情况下,获得的一个连通城市的集合。第一排输入三个数,分别代表城市总数-n、道路总数-m、检查数-k。1、用vector来存储每个城市的邻居城市。2、用dfs深度遍历当前城市的所有邻居城市。
动态规划算法的优化技巧(转贴)
steel的专栏
07-30 1003
[摘要]动态规划是信息学竞赛中一种常用的程序设计方法,本文着重讨论了运用动态规划思想解题时时间效率的优化。全文分为四个部分,首先讨论了动态规划时间效率优化的可行性和必要性,接着给出了动态规划时间复杂度的决定因素,然后分别阐述了对各个决定因素的优化方法,最后总结全文。[正文]一、引言动态规划是一种重要的程序设计方法,在信息学竞赛中具有广泛的应用。使用动态规划方法解题,对于不少问题具有空间耗费大、时间
HTTP在线测试工具httpbin
谷哥的小弟
11-17 2910
强烈推荐一款HTTP在线测试工具http://httpbin.org/;尤其是不会后端开发的童鞋有福了。 你可以直接发起一个POST请求至API,它会返回响应的数据。
http测试工具:httpbin
chuyouyinghe的专栏
08-21 1383
httpbin 是一个使用 Python + Flask 编写的 HTTP HTTP Request & Response Service。,是一个开源项目。主要用于测试 HTTP 库。你可以向他发送请求,然后他会按照指定的规则将你的请求返回。httpbin支持HTTP/HTTPS,支持所有的HTTP动词,能模拟302跳转乃至302跳转的次数,还可以返回一个HTML文件或一个XML文件或一个图片文件(还支持指定返回图片的格式)。
几个学习软件测试网站
tanguiqin的专栏
12-09 1699
<br />几个测试网站,可以参考学习下:<br /> 51Testing软件测试网  http://www.51testing.com<br />优快云——软件测试频道  testing.csdn.net<br />希赛网——软件测试频道  testing.csai.cn<br />中国软件测试联盟  www.iceshi.com<br />一起测试http://www.17testing.com<br />北大测试  http://www.btesting.com<br />中国软件测试基地 ht
可供软件测试练习的在线网站、被测系统——整理中
caohongxing的博客
05-16 1万+
1.P2P金融平台 p2p金融平台:该平台功能全面。文档(操作手册、接口文档等)较为丰富 前台地址:http://user-p2p-test.itheima.net 前台账号可以自行注册。 后台地址:http://admin-p2p-test.itheima.net 后台账号密码:admin/12345678 2.SWAGLABS 一个小型的在线的购物网站Swag Labs 3. 可供练习的在线测试网站 17个练习自............
http接口测试—自动化测试框架设计(超详细)
HUA6911的博客
03-28 667
对服务后台一系列的http接口功能测试
软件测试—— 接口测试HTTPHTTPS)
最新发布
qq_67693066的博客
01-19 4239
接口测试理论基础
请求响应参数说明
aaaaaaaa123321222的博客
01-02 3162
Requests Header | Http Header Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5
测试进阶必备,这5款http接口自动化测试工具真的很香
shanmao001的博客
02-11 3568
综合上面的描述,我们用下面的表格来做个小的总结,请看:​最后结合上面的表格来选择适合自己需要的接口自动化测试工具吧。
Http-001-使用 HTTP 协议访问 Web
qq_33605778的博客
02-28 875
当我们在网页浏览器(Web browser)的地址栏中输入 URL时,Web 页面是如何呈现的? 根据 Web 浏览器地址栏中指定的URL,Web 浏览器从 Web 服务器端获取文件资源(resource)等信息,从而显示出 Web 页面。 像这种通过发送请求获取服务器资源的 Web 浏览器等,都可称为客户端(client)。 Web 使用一种名为 HTTP(HyperText Tran...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值