盛大渗透全纪实之SVN猎手

最新推荐文章于 2024-04-15 20:43:56 发布
最新推荐文章于 2024-04-15 20:43:56 发布
阅读量363 收藏
点赞数
分类专栏: 安全开发 逆向漏洞 实战篇 文章标签: SVN猎手 渗透 kali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kclax/article/details/91354360
版权
本文详细记录了一次针对盛大网络的渗透测试过程,通过发现SVN泄露信息,利用注册漏洞成功上传PHP后门,揭示了网络安全的重要性。尽管最终未造成实际损害,但该事件提醒我们潜在的安全风险,尤其是对于高流量应用的保护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
本想着扫点81端口服务器能对下一步渗透有所帮助。。 结果发现这个目标段上站点并不多。。 整个段上貌似只有这一个站和一个数据库服务器是活的 = =

so,再次改变思路。。

用某二级域名查询工具导出了一份盛大的站点,进行普扫。。。
---------------
其中发现了bbsdk.sdo.com的一处源码备份
在这里插入图片描述
不过看了一会儿 貌似又是一个已下线的站。。

半小时以后,扫描结果出来。

即使一些站有比较敏感的目录,也被盛大的UAM挡在了外面。。。

不过,发现在58.215.44.53里发现了svn泄露信息
在这里插入图片描述
数据库
在这里插入图片描述
不过依然禁止外连。。。。。。

通过查看,发现了此站的后台。
在这里插入图片描述
但是获取不了管理员密码

最低0.47元/天 解锁文章
SVN系列教程-第四章-TortoiseSVN使用大
緑水長流*z
09-09 2622
教程说明 本系列教程目录大纲:《SVN系列教程-目录大纲》 《SVN系列教程-第四章-TortoiseSVN使用大》 1.1 TortoiseSVN简介 TortoiseSVN是一款基于windows系统的svn客户端工具,TortoiseSVN可以很好的帮助我们操作SVN仓库,例如检出、添加、更新、提交、删除、撤销、日志记录、回滚版本、解决冲突、文件忽略等功能; 安装好TortoiseSVN之后,查看右键菜单: 选择Repo-browser,输入仓库的地址: 输入用户名和密码: 在线浏览仓库
svn源码泄露漏洞工具
08-28
在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。
SVN泄露(ctfhub)
最新发布
2401_82985722的博客
04-15 1927
SVN详解_svn cp-优快云博客subvert(颠覆) + verson(版本) = subversion --> svnSVN(Subversion)是一种开放源代码版本控制系统,用于管理项目的文件和代码。
SVN源码泄露漏洞挖掘
王嘟嘟的博客
03-27 2592
0x00 前言 请使用svn目录 0x01 正文 1.方法一 关键字 intitle:“index of/.svn
svn信息泄露实战测试
逍遥小哥的博客
05-15 2731
1.下载工具 SvnExploit(其中有针对1.7版本以下和1.7版本以上 两个不同的使用命令)2.目录爆破或扫描器扫出svn信息泄露的路径。4.使用工具开始检测并下载网页源代码。3.访问查看svn版本。
SVN信息泄露分析
看不尽的尘埃——博客
11-19 4239
什么是SVN? SVN(subversion)是源代码版本管理软件。 问题如何产生? 在使用SVN管理本地代码过程中,会自动生成一个隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使隐藏文件夹被暴露于外网环境,这使得渗透工程师可以借助其中包含版本信息追...
SVN源码泄露漏洞总结
weixin_43977912的博客
03-23 1025
1.基础 概要:SVN是源代码本本管理软件。使用SVN管理本地代码过程中,会生成一个名为.svn的隐藏文件夹,其中包含重要的源码信息。 出现原因:网站管理员在发布代码时,没有使用导出功能,直接进行复制粘贴。 漏洞例子:xxxx/.svn/entries 2.svn安装(ubantu版本下) 链接:https://blog.youkuaiyun.com/qq_36869808/article/details/88548379 3.检测工具 https://github.com/LangziFun/scan-backup-
对某网的一次渗透测试纪实
zdy8023的博客
04-20 1382
文章转自:先知社区 作者:Ph3mf0lk 地址:https://xz.aliyun.com/t/4694 最近一个月学着去挖洞,混了快2个月的补天。还是有挺多收获的。这里记录一个昨天对某人才网的渗透测试。从逻辑越权,xss,弱口令等到getshell,控制数据库..... 新人第一次写稿,有不足的地方恳请师傅们指出 目标站点我就以www.xxx.com代替 1. 逻辑越权 这个人才网有...
SVN信息泄漏利用工具
11-22
SVN信息泄漏利用工具
记一次SVN信息泄露漏洞
Websec
04-08 7184
svn漏洞利用工具
10-06
svn漏洞利用工具 .svn svn漏洞那shell svn信息查看器
svn checkout 命令_SVN渗透
weixin_39626181的博客
12-10 1575
SVN,在渗透中似乎并不是一个被着重关注的点,我们今天简单简单简单探讨下SVN渗透中的使用。svn源码泄露首先,最容易想到的svn源码泄露:使用SVN管理本地代码过程中,会生成一个名为.svn的隐藏文件夹,其中包含重要的源码信息。然而网站管理员在发布代码时,没有使用导出功能,直接进行复制粘贴。此漏洞的相关检测在AssetsHunter的inforisk模块已经集成了,大家简单参考:de...
史上最渗透测试面试题,都是干货。
m0_48368237的博客
01-30 7951
1、拿到一个待检测的站或给你一个网站,你觉得应该先做什么? 一、信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等。 2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3、通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。 4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统
Seay-svn源代码备份漏洞
aurora__的博客
07-18 2502
作者:知乎用户 链接:https://www.zhihu.com/question/50721026/answer/143643312 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文
渗透测试初步学习之漏洞发现和源码泄露
Super_Yiang的博客
09-07 2444
渗透测试初步学习之漏洞发现和源码泄露 一、目录扫描 ​ 目录扫描的目的是为了探测目标的目录情况,从而分析目标的CMS情况、敏感信息泄露情况 以及 一个大体的站点地图。 ​ 这里推荐用御剑前辈的后台扫描器。 二、蜘蛛爬行 ​ 蜘蛛爬行和目录扫描的目的差不多,都是为了帮助用户建立一个大概的站点地图,但是两者采用的方法却不同,目录扫描是根据字典进行枚举,而蜘蛛爬行则是从站点的链...
熟悉msfvenom生成木马程序过程,并执行和监听控制.
suixinxxx的博客
11-04 3591
一,目的:熟悉msfvenom生成木马程序过程,并执行和监听控制. 二,工具:MSF 三,原理:msfvenom是msfpayload,msfencode的结合体,它的优点是单一,命令行,和效率.利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线 四,过程: 1,查看帮助 命令: root# msfvenom -h 结果: 2,生成
svn漏洞详解
weixin_30640291的博客
11-21 870
成因: SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘...
SVN攻略:从密码修改到MyEclipse集成
本资源是一份详尽的SVN(Subversion)使用手册,涵盖了从基础操作到高级功能的方位指导。首先,它重点介绍了如何修改SVN的访问密码,步骤包括通过SVNManager登录界面,输入当前密码和新密码进行密码更改,并确保新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值