0x00 渗透测试目标

目标:荷兰某厂商(不好意思,厂商信息不能写)

内容:渗透测试

0x01 信息收集

服务器:Microsoft-IIS/7.5

Web应用:ASP.NET

数据库:Access(数据库也太小了)

目标端口:扫描了没啥有用的。

Whois:

记一次渗透测试实战-RadeBit瑞安全

 

 

0x02 SQL注入

找到注入了。但是由于数据库太low,跑得太慢了,暂停深入。

记一次渗透测试实战-RadeBit瑞安全

0x03 猜后台&爆破

很容易猜到后台了,但是爆破不太顺利。估计密码设置超复杂,暂停不猜,继续换姿势。

0x04 未授权访问

发现网站在添加管理员页面存在未授权访问。(通过各种搜索引擎,搜索到的)

直接添加管理员,OK登陆了。

记一次渗透测试实战-RadeBit瑞安全

 

0x05 Webshell 上传

由于厂商没有上传Webshell需求,只是上传图片和测试页面。

记一次渗透测试实战-RadeBit瑞安全

 

 0x06 总结

熟知工具只是一方面,熟练运用很重要。