网络安全(中职组)-B模块:Web渗透测试

Posted mingchaobinghongcha

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全(中职组)-B模块:Web渗透测试相关的知识,希望对你有一定的参考价值。

B-5:Web渗透测试

任务环境说明:

    √ 服务器场景:Server2103

    √ 服务器场景操作系统:未知(关闭连接)

1. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,将文件上传成功后的页面回显字符串作为Flag提交(如:点击超链接查看上传文件)

 

扫描目标IP有80和443端口

访问80端口,有一个注入页面

sqlmap跑出来一个admin的账户,尝试用它登录443的页面

上传一个图片木马,即可获取到答案

文件上传成功,点击预览

 

2. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用WHOAMI获取WEB当前的用户权限,并作为Flag进行提交;

上传完毕预览返现有一个文件上传漏洞

将src=中的内容替换到file=后面

将替换之后的网页,复制下来,用蚁剑连

 

 

这里就不能用443端口去连

apache

3. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令获取到当前linux用户UID为5的用户,将该用户的用户名称作为Flag进行提交;

sync

 

4. 通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令查看后台首页文件,将该文件的第二行的所有字符串作为Flag进行提交;

session start();

 

以上是关于网络安全(中职组)-B模块:Web渗透测试的主要内容,如果未能解决你的问题,请参考以下文章

2023年中职组网络安全竞赛——web服务渗透测试解析

2021年中职“网络安全“江西省赛题—B-8:Web渗透测试

2022年山东省中职组“网络安全”赛项比赛任务书正式赛题

网络空间安全中职重庆市比赛赛题解析分析四个阶段解析答案(共五套题)第五套题目

网络空间安全中职重庆市比赛赛题解析分析四个阶段解析答案(共五套题)第五套题目

网络空间安全中职重庆市比赛赛题解析分析四个阶段解析答案(共五套题)第二套题目