14
2015
05

继续练习X站,WEBFTP上传拿到WEBSHELL,继续等高手赐教思路…

   继上次拿到一个内网站的完整权限后,继续在内网摸索。内网的确是个好的靶场啊……有各式各样的系统和程序可供练习。从一个友情链接跳转的时候发现一个部门的小站,和之前做的站是同一个网段下的,估计也是同一批人在维护吧,不过链接地址是http://1.1.1.21/xxxxxx/

07
2015
05

最近在练手X站,乔客CMS1.2,有防注…需要高手指导…UPDATE 20150508

    因为在自学网络安全,自然要学习一些攻防手法,既然学了就得要做实践的,于是斜眼盯上了内网一个站点。其实也不是现在才盯上它的……一两年前这个站就已经被XX过,那时候我也试过,内网的站都有这个特色,就是基本不做安全防护,任由大家随便玩,只要不瘫痪,不乱发东西就行,那时候随便拿个注入工具就能跑出管理员密码,基本上属于没难度的事。两年过去了,现在准备练手了,自然第一个就还是想到它,不过去年底内网的这个站点更新了一下,80端口跑的是一个新站,旧站转移到8008端口了。没关系,反正是练手,不管他在哪个端口都一样。。。

    然而没想到的是可能内网的管理员也提高了安全意识,感觉不是那么容易拿下来的了。先说下这个练手用的旧站,两年前测试的时候得知是Win2003的服务器,IIS6,CMS用的是乔客1.2或者可能更老的版本,是网站管理员自己改了改以后上线的,最早上线大概是08年吧。鉴于安全的原因,网站的概貌就不截图了。

...

«1»