什么是渗透测试：某网站的渗透测试过程？

知了堂姐

2024-07-09 11:12:24

0次

在网络安全领域，渗透测试扮演着至关重要的角色。它是对计算机系统、网络或应用程序进行的一种安全评估方法，旨在发现潜在的安全漏洞和弱点。那么，什么是渗透测试呢？本文将为您详细解读。
一、信息收集
1. 网站界面

2. 网站信息收集
(1) 中间件信息收集

(2) 目录扫描

3. 服务器信息收集

4. 信息收集汇总
(1) 通过目录扫描发现
网站后台
http://192.168.7.109/admin/login/?next=/admin/auth/
网站命令控制台（要先登录）
http://192.168.7.109/dev/shell/
网站泄露账号密码页面
http://192.168.7.109/dev/

右击，查看源代码

二、漏洞确认与复现
1. 解密base64得到密码
账号nick 密码bulldog

2. 使用网站控制台，发现命令执行漏洞，有过滤，可通过&拼接符绕过

3. 由于是py的站，让其用wget下载脚本并执行反弹连接脚本，在攻击机用nc侦听

脚本内容

侦听机

4. 得到shell

上一篇：揭秘渗透测试：渗透测试包括哪些？

下一篇：渗透测试是干什么?某主机的渗透测试过程记录