渗透测试专题之decms的攻防篇(一)

http://blog.sina.com.cn/s/blog_e981cdea0101c4jc.html

这个网站上介绍了织梦网站攻防的几种技巧:下面我用自己的方式阐述一遍

-----------------------------攻击篇------------------------------------------------------

1、织梦cms的有关指纹信息的获取

a、访问织梦系统的标签信息 http://域名/tags.php  底部logo、版权

b、 http://域名/member/login.php 通过文件目录的方式

c、通过firebug  src="/upload/alling/17708/8-1304.jpg"

d、通过viewsource看css 、js 路径  <link href="/templets/index/style/index.css" ref......>

-----------------------------防御篇--【待更新】----------------------------------------------------

时间: 2024-12-29 05:36:27

渗透测试专题之decms的攻防篇(一)的相关文章

渗透测试专题之实战技巧总结

1.首先明确你的攻击目标,这很重要,这可以避免你使用眼花缭乱的工具,从而找不到攻击点. 2.你的攻击目标可以是操作系统.web服务器及各种服务器,所以在不知道这些信息的情况下首先得看知道自己的目标系统环境 nmap -O 172.16.55.153  #显示目标服务器的操作系统的信息.版本号及开放的端口 3.对应相应的操作系统信息,查看漏洞公告,寻找攻击点,一般我们对于操作系统的攻击使用msf 4.如果你的目标是web,那么先根据经验寻找后台,先尝试弱密钥是否可以登录后台. 如果弱密钥无法登录后

渗透测试专题之搜素引擎语言

site:可以限制你搜索范围的域名.inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题.URL等的文字)intitle: 查包含关键词的页面,一般用于社工别人的webshell密码filetype:搜索文件的后缀或者扩展名intitle:限制你搜索的网页标题.link: 可以得到一个所有包含了某个指定URL的页面列表.查找后台地址:site:域名 inurl:login|admin|ma

渗透测试中如何提取Windows系统帐户密码

『面向对象』本篇博文主要面向信息安全渗透测试初级人员以及信息安全攻防技术爱好者,大牛请珍惜生命.自行绕道. 『主要内容』主要介绍在后渗透测试阶段如何利用工具来获取Windows操作系统账号密码. ---------------------------------------菜鸟起飞系列------------------------------------------------ 渗透测试任务:获取Windows系统帐户密码 攻击测试目标:Windows server2003 2008 2012

别人的渗透测试(一)

各位好,本系列打算对本人学过的渗透测试知识做一个总结.与此同时希望能够帮助到一些迷茫的人. 渗透测试这门艺术比较难学,首先需要了解程序(前端程序.后台程序.数据库.框架,CMS.....),然后学习常见的手法(SQL注入.XSS.CSRF.文件上传.SSRF....)和使用黑客工具,其次将手法(漏洞原理)和编程相结合生出黑客工具(POC.EXP),最后挖掘应用程序漏洞(代码审计).这只是仅仅的一部分,其实还能结合现有的基础设施或浏览器进行攻击.本人知识层面有限,总结并不完成,欢迎评论补充.渗透测

Python 黑帽子:黑客与渗透测试编程之道——互动出版网

这篇是计算机类的优质预售推荐>>>><Python 黑帽子:黑客与渗透测试编程之道> 安全畅销书<Python灰帽子>同作者姊妹篇 知道创宇余弦.腾讯胡珀及Keen.蓝莲花等知名黑客战队联合作序盛赞 编辑推荐 本书适合有一定编程基础的安全爱好者.计算机从业人员阅读,特别是对正在学习计算机安全专业,立志从事计算机安全行业,成为渗透测试人员的人来说,这本书更是不可多得的参考. 内容简介 <Python 黑帽子:黑客与渗透测试编程之道>是畅销书<

小白入坑 Web 渗透测试必备指南

本文来自作者 肖志华 在 GitChat 上分享「Web 渗透测试入坑必备指南」,「阅读原文」查看交流实录 「文末高能」 编辑 | 黑石 小白如何快速入门 由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我.再者,内容不会完全讲清楚,因为本身话题的原因,部分会一笔带过. 小白该如何踏入 Web 安全这个坑呢?我的经历是,兴趣所在.我是野路子,全靠兴趣来自学. 现 Web 安全如果要讲入门,要求并不高,两三天就能入门,而我也仅在入门级别. 我接触这个比较早,最初是在10年还是

60字节 - 无文件渗透测试实验

0x00 缘由 前几天看到文章<全球上百家银行和金融机构感染了一种"无文件"恶意程序,几乎无法检测>,希望自己能够亲手实验一下,以最大程度还原这种"无文件"攻击方式. 0x01 拓扑设计 192.168.1.0/24: 模拟公网环境 172.21.132.0/24: 模拟企业内网环境 192.168.1.108: 黑客 Kali 攻击机 192.168.1.212: 黑客 Windows 攻击机 边界 Web 服务器双网卡(公网的:192.168.1.1

kali渗透测试(一)

最近在实验楼上买了渗透测试的课程,按照课程的步骤学了学,一知半解吧,还是想把知识点先记录下来. 推荐阅读下述内容: Kali 使用入门:http://docs.kali.org/category/introduction 上述的 Kali 使用入门这篇文章,适合对 Kali 的基本操作不熟悉的同学阅读. Metasploitable2 使用指南:https://community.rapid7.com/docs/DOC-1875 Metasploit 基本介绍: Metasploit 可以导入弱

渗透测试、取证、安全和黑客的热门链接

你还在找一套工具,可以完成您的日常活动,或正在你只寻找新的工具,您可以尝试着玩?不需要担心,因为今天是你的幸运日 !今天,我将提到的链接. 资源和编辑的各种工具,可用于渗透测试. 计算机取证.安全.和黑客技术. ToolsWatch.org ToolsWatch.org 是由 NJ OUCHN (@toolswatch) 和 Maxi Solder(@maxisoler) 维护的.这是一个很酷的网站,您可以找到最新版本的审计. 渗透测试工具. web 应用安全顾问. 系统管理员. 网络管理员.