渗透测试小经验(一)

最新推荐文章于 2023-12-06 13:44:40 发布
原创 最新推荐文章于 2023-12-06 13:44:40 发布 · 805 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一些基本的渗透测试方法,包括使用nmap进行信息收集、利用BurpSuite进行漏洞分析等。还介绍了如何通过telnet和nc命令测试端口是否开放,并演示了利用IPC$漏洞进行远程文件操作的过程。

一、信息收集
nmap扫描
二、漏洞发现、利用
web页面回显F12查看,BurpSuite分析

tips
测试端口是否开放:

telnet IP port
nc -nv IP port

漏洞利用之IPC$

前提:假设开启了文件共享,将远程共享文件夹映射到本地的F盘

net use f: \\10.235.15.2\share 远程密码 /user:用户

查看映射列表

net use

删除

net use f: /del
net use * /del

访问远程其他盘

net use f: \\10.235.15.2\c$ 远程密码 /user:用户

copy文件到别人的机器上。

cpoy f:*.exe  //10.235.15.2/c$/kk/
5年软件渗透测试工程师的从业经验分享,值得借鉴
sijiu9527的博客
05-12 1229
《300G全套最新软测视频教程资源》 链接:https://pan.baidu.com/s/17jkyGn-Wm-zC6QQLkWjrsw 提取码:o94n 、常见问题 1、客户系统,之前做过渗透测试,我们要怎么做? 深入了解客户系统,丝不苟发现系统深层次漏洞。 2、客户系统,部署了防火墙,我们要怎么做? 可以绕过防火墙进行测试,比如通过内部wifi的手段等。客户已有的安全防护,不定安全,很容易被绕过。 3、客户系统,采用Ukey登录,还需要渗透吗? Ukey的安全性也.
完整的内网渗透经历
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
08-03 1509
因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了波weblogic,不出会便找到了目标。 简单的看了下机器环境,出网,没有杀软(后面发现实际是有个很小众的防火墙的,但是不拦powershell),有内网环境。 所以这里直接尝试cs自带的Scripted Web Delivery模块,直接创建个web服务用于键下载和执行powershell。 运行刚刚生成的powershell 这边的CS成功上线。 这里我们先来看看系统的信息。
渗透测试工程师从业经验
ZL_1618的博客
06-25 459
这周参加360的补天大会听了位渗透大佬的分享,感觉获益匪浅。
给第次做渗透项目的新手总结的些感悟
hackzkaq的博客
06-07 2514
说在前面首先很重要的是授权 ,之前也看过很多关于渗透测试的文章,但是因为些现实因素等等问题,没(bu)有(gan)真正实操,最近由于次偶然的机会,什么都不会的我接到了渗透测试项目然后就把最近学到的些东西,和些小感悟,小技巧记录下来,由于些特殊原因,本文中不涉及到渗透过程中的任何敏感信息首先跟我样菜当然是装不出大神的,当然还是多学,多积累最重要,但是既然都开始了,就不能显得太划水,下面的操作不能让你成为大...
渗透测试公司工作经验记录分享
网站安全专家
04-25 1953
伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点,我下定决心要为自己换份工作——到更加全方位的服务平台去学习大量的东西,提高自己的实际价值。饱经探寻,家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安...
网络安全未来十年会很吃香吗?跟当年的Java开发比如何?
QXXXD的博客
02-02 1335
网络安全入门到底是先学编程还是先学计算机基础?
渗透测试流程
02-24
本文根据作者的渗透测试经验,讲讲基本的渗透测试流程,分享给大家。当拿到个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些...
渗透测试学习笔记之案例.pdf
04-06
渗透测试领域,持续的技术积累和实战经验分享对于个人成长至关重要。本文档记录了个具体的渗透测试案例,旨在通过实战演练来加深对渗透测试技术的理解,并为后续的技术积累提供参考。 #### 2. 实验环境设置 ...
渗透测试入门指南
最新发布
09-09
本书的作者Debasish Mandal是位有着丰富信息安全管理经验和超过十年渗透测试经验的专业人士。他在信息安全领域有着深刻的见解和实践经验,通过本书,他希望将自己的知识和经验传授给对网络安全和渗透测试感兴趣的...
Kali Linux网络渗透测试实战指南
07-31
本书《使用Kali Linux进行Web渗透测试》是本面向专业渗透测试人员的实用指南,帮助读者掌握使用Kali Linux进行网站、网络应用和标准网络协议渗透测试的策略。书中详细介绍了渗透测试的基础知识、方法论、风险评估...
涵盖渗透测试报告资料文档经验文档及安全书籍的汇总
09-07
网络安全领域持续发展,渗透测试作为其中关键的环,扮演着不可或缺的角色。渗透测试,简而言之,是种安全评估方法,通过模拟黑客行为,测试网络、系统或应用的安全性。这过程不仅能够帮助发现潜在的安全漏洞,...
渗透测试思路总结
08-27
某安全实验室关于渗透测试的总结,分为针对网站的,针对服务器的等
次渗透经验分享
win176489的博客
05-28 1515
**次渗透经验分享** 通过在网上看到好多大佬们使用msf工具来进行渗透测试,然后出于学习和探索工具的功能,自己在本地搭建了个asp的靶场环境进行渗透。效果还是很不错的。 测试环境:目标机 windows2003 192.168.42.132 攻击机 kali 192.168.43....
渗透测试之渗透某培训平台经历
hackzkaq的博客
04-06 745
零基础学黑客,搜索公众号:白帽子左 某天工作室小伙伴发了个某学校培训平台的URL给我说有注入,于是我们俩就开始了愉快的渗(mo)透(yu)旅程 从注入摸到XXE 首先这个站有个学生登录口和个管理登录口: 自然是先用学生身份注册个账号,进去之后到处摸,然后在课程支付的地方找到个注入点 因为这个培训平台的所有课程都是付费的,所以首先需要支付才能进行学习。在点击支付后会生成个支付记录,然后跳转至另个外部网站进行支付过程。然后就找到个支付记录查询的页面: 对应HTTP包抓下,发现user_c
2014自己总结的渗透经验[转]
weixin_30399871的博客
01-23 370
经验的老鸟们就不用看了。(大牛绕过) 我们每当渗透个站点的时候必须要了解他的信息。 这是最基础也是最基本的常识。 第要看网站是什么脚本? 是什么程序? 有多少类的程序? 系列:http://www.zzrsks.com/这个站点 我们可以看出是伪静态的。那么如何判断他是属于什么脚本的呢?有很多种方法我就介绍下最基本的方法。方法1:网站根目录里index.phpindex.aspin...
深入渗透测试,我的实战经验与案例解析
白帽子凯哥哥的博客
12-06 2739
渗透测试,也称为渗透评估或渗透检查,是种模拟网络攻击者的方法,用以评估计算机系统、网络或Web应用的安全性。这种测试的主要目的是找出系统的安全漏洞,从而采取相应的防护措施。
作为渗透测试工程师有什么有趣的经历
我想做一个好人<svg/onload=Alert`1`>(
11-06 8337
0x01 之前给移动做渗透测试。 后半夜用拿到的移动短信接口,给移动跟我们对接的客户领导发短信:哥,昨晚的小姐还满意不? 【前提是你们跟客户的关系处到可以随便开玩笑的地步。否则可能被轰出去。】 哈哈哈,这个梗,我能笑十年。   0x02 目标久攻不下,给等保组个脚本,拿去目标机器抓密码。结果被360杀出来了。客户很生气。 哈哈哈哈,逗比同事干的,赤果果的坑队友。   0x0...
记录渗透测试艰难打点的过程
include_voidmain的博客
06-07 1751
记录渗透测试艰难打点的过程
项目实习(五)网络渗透实验
eck_777的博客
09-26 7547
这是大学期间进行的生产实习内容,主要是进行次简单的网络渗透测试。 实习的目的及任务 实习的目的 生产实习是实现理论知识和实践相结合的重要环节。通过实习,学生将对于课堂学习的基础和专业理论知识有更深入的掌握。特别是对信息安全技术与工程的最新发展和应用有较深入的了解。同时通过生产实习,进步锻炼学生理论与实践相结合的能力,提高学习的主动性,为毕业后的社会工作打下良好的基础。 实习任务要求 (1)严...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值