有手就行:零基础渗透网站步骤

最新推荐文章于 2025-02-15 10:18:42 发布
最新推荐文章于 2025-02-15 10:18:42 发布
阅读量2.9w 收藏 235
点赞数 23
文章标签: 渗透测试 运维 网络安全 经验分享 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jklbnm12/article/details/118443222
版权

前言:渗透技巧小总结,希望大家喜欢!

渗透技巧

1.拿到一个网站后,先进行扫描,对网站全局进行爬行。

2.某些cms的网站设置过滤不严,直接在网站后面加上admin/session.asp 或 admin/left.asp 可直接进入后台

3.入侵网站之前连接下3389,可以连接上的话先尝试弱口令,不行就按5次shift键,看看有没有shift后门

4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选–查看即可直接进入后台。

5.:javascript:document.write("<ahref=‘http://www.xxx.com/uploadfile/1.asp’>fuck") 点击GO即可进入shell。

6.遇到一流信息监控拦截系统时,上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。

7.eweb编辑器后台,增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了,尝试增加一个aaspsp,再上传asp就会解析了。

8.用注入工具猜解到表段却猜解不到字段的时候,到网站后台右键查看源文件,一般账号密码后面的就是字段,之后在注入工具里添加字段进行猜解即可。

9.当注入工具猜解表段,但猜解字段时提示长度超过50之类,不妨扔到穿山甲去猜解一下。

10.得知表段跟字段之后,

最低0.47元/天 解锁文章
实操教程:黑客如何瞄准和入侵网站
jklbnm12的博客
06-27 5048
这个问题的答案可能很难确定,仅仅是因为有很多方法可以入侵一个网站。我们在本文中的目的是向您展示黑客在定位和入侵您的网站时最常用的技术! 假设这是您的站点:hack-test.com 让我们ping这个站点来获取服务器IP: 现在我们有 173.236.138.113 - 这是我们的目标站点托管的服务器 IP。 要查找托管在同一服务器上的其他站点,我们将使用 sameip.org: 托管在 IP 地址 173.236.138.113 上的相同 IP 26 站点 ID 领域 网站链接 我们需要有关您网站的更多
web渗透测试基本步骤
weixin_34313182的博客
03-05 1488
基本常见步骤: 一 、信息收集 要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进登录后台。 2.用邮箱做关键词,丢进搜索引擎。 3.利用搜索到的关联信息找出其他邮进而得到常...
网站渗透思路(小白专看,大佬绕道)
热门推荐
weixin_48477703的博客
06-12 1万+
渗透测试大体可以分为六大步 1. 信息收集 2.漏洞挖掘 3.漏洞利用 4.提升权限 5.清除测试数据 6. 总结归纳输出报告并提出修复建议 首先在获取书面授权的情况下,才可以进渗透测试,提前询问有没有敏感操作等,首先进网站的信息收集 ...
常见的黑客入侵技术有哪些(黑客入侵原理)零基础入门到精通,收藏这篇就够了
最新发布
chengxuyuanyy的博客
02-15 891
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
落泪红尘渗透笔记
0ffs3t
02-28 1718
落泪红尘渗透笔记 2012-02-27 14:24 首先把,主站入 注册一个账号,看下上传点,等等之类的。 用google找下注入点,格式是 Site:XXX.com inurl:asp|php|aspx|jsp 最好不要带 www,因为不带的话可以检测二级域名。 扫目录,看编辑器和Fckeditor,看下敏感目录,有没有目录遍及, 查下是iis6,iis
史上最全的渗透测试面试题,都是干货。
m0_48368237的博客
01-30 7945
1、拿到一个待检测的站或给你一个网站,你觉得应该先做什么? 一、信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等。 2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3、通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。 4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统
网站渗透教程 
02-25
网站渗透教程 MD5密码解密:
网站渗透
11-19
文档存放百度云链接 链接失效 联系我
网页渗透教程
04-30
关于网页任意上传漏洞的讲解以及工具关于网页任意上传漏洞的讲解以及工具
【深度学习技术入门】:零基础到精通神经网络构建的7个关键步骤
![【深度学习技术入门】:零基础到精通神经网络构建的7个关键步骤]... # 摘要 本文系统地介绍了深度学习的基础理论、应用场景以及核心组件。首先概述了深度学习的理论基础和其在各领域的实际应用。...
【CMG油藏模拟入门:21世纪必备技能】:零基础到精通的10大步骤
!... # 摘要 CMG油藏模拟作为一种高效的技术工具,在石油工程领域被广泛应用于油藏的数值模拟。本文首先概述了CMG模拟的基本概念和软件环境搭建,随后深入介绍了CMG的基本操作、界面熟悉、油藏模拟理论以及实践应用。...
网站攻防实战渗透教程
10-26
网络安全与攻防技术教程!实战篇录制视频!
VIC水文模型:零基础全程视频教学,从模型参数率定到径流模拟实践指南,"VIC水文模型深度解析:从基础内容处理到模型参数率定的全程视频教学指南",vic水文模型 VIC水文模型径流模拟 全程视频教学
02-11
本视频教学内容涵盖了VIC水文模型的全面应用,从零基础的概念讲解到具体参数的率定,再到最终的径流模拟实践。教学过程中详细地讲解了模型的安装、配置、运以及结果的分析和解释。对于初学者而言,视频教程以循序...
零基础渗透测试全程记录(打靶)——Lampiao
ran的博客
07-28 2485
权限提升,就是所谓的提权,因为一般进入拿到webshell后进入到服务器了都是低权限,在接下来的靶中我们的目标都是拿到root权限,所以拿到webshell后是低权限用户,这个时候我们需要一系列的方式进提权,最后拿到root权限,即为结束。在上面扫描出的ip地址中,.1、.2、.254、.138都是其它的一些ip地址,所以在此确认要进攻击的靶机的ip地址为:192.168.190.140。比如平常挖洞使用fofa,天眼查,ip域名等进查,在我们这个靶场中比如信息收集包括查看源码,使用工具dirb等。
网站渗透测试教程--了解渗透测试
q2243088760的博客
11-01 733
授权方想尽可能的模拟黑客攻击的情况,并且要测试系统的防护能力和相关人员(包括运维人员、安全员等人员)的警觉性和应变能力。当测试授权方(也可以成为客户、委托方、雇主或者受测方)不清楚受测系统的信息(例如:外包,二次开发),也无法提供完整的受测系统信息的情况下,测试者无法实现得知受测系统的情况,但是授权方还是尽可能协助测试者的了解受测系统的信息。测试者几乎完全知道系统的信息,这样可以把精力尽可能的放在找出受测系统的漏洞和弱点,就好比拿到一只透明的箱子,不仅知道箱子的存在,也知道箱子里面装的是什么。
黑客的入侵方式你知道几种?
weixin_68789096的博客
03-10 1597
零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)因篇幅有限,仅展示部分资料,需要点击上方链接即可获取。
网站程序+服务器提权思路总结
weixin_34313182的博客
03-15 404
(一)针对网站程序,不考虑服务器。 一、查找注入,注意数据库用户权限和站库是否同服。 二、查找XSS,最近盲打很流,不管怎样我们的目的是进入后台。 三、查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、Apache等。 四、查找编辑器,比较典型的ewebeditor、fckeditor等等...
xh_零基础网站渗透第一部
dianmo9374的博客
05-28 1021
一、认识常见网站类型   1.1asp:asp是动态服务器页面(active server page)的英文缩写。是微软公司开发的代替cgi脚本程序的一种应用,它可以与数据库和其它程序进交互,是一种简单、方便的编程工具。asp的网页文件的格式是.asp和.aspx。现在常用语各种动态网站中。   1.2php:php原始为Personal Home Page的缩写,已经正式更名为 ...
如何正确的进网站入侵渗透测试
2401_84466361的博客
05-10 1377
大家都知道渗透测试就是为了证明网络防御按照预期计划正常运而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值