前不久接到朋友的尋求幫助(前提必須要有授權(quán)許可，可不能亂滲透測試)，就是說有個站搞不了了，讓我看看能否協(xié)助整一下；恰好近期應(yīng)急處置結(jié)束了在看系統(tǒng)日志，看的有點苦惱，因此便接下了這一工作，提升點快樂。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),額爾古納企業(yè)網(wǎng)站建設(shè),額爾古納品牌網(wǎng)站建設(shè),網(wǎng)站定制,額爾古納網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,額爾古納網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

網(wǎng)站信息收集,得到手的總體目標(biāo)是一個ip地址加服務(wù)器端口的網(wǎng)站，一鍵復(fù)制到打開瀏覽器，能夠 看見跳轉(zhuǎn)至1個登錄頁，在分析登錄界面時，發(fā)覺圖片驗證碼可重復(fù)使用，以后應(yīng)用burp重新上傳幾回post請求，獲知同一個賬戶，登陸密碼可無窮異常，這兒因為登錄驗證的缺點，造成 可實現(xiàn)賬戶密碼暴破，好運(yùn)氣的情況下能夠 進(jìn)到后臺管理；可是，暴破響動太大，會造成許多 系統(tǒng)日志，非常容易被發(fā)覺，更何況暴破后臺管理須要相應(yīng)的時長，現(xiàn)階段處在搜集資產(chǎn)環(huán)節(jié)，簡易檢測好多個弱口令不成功后，繼而尋找其他的有價值信息內(nèi)容。

應(yīng)用引擎簡易檢測了下服務(wù)器端口，發(fā)覺這一ip地址對外開放了許多 服務(wù)器端口，如3306，27017，6379，二十二這種,這兒簡易考慮了一下下，能運(yùn)用的服務(wù)器端口有MySQL數(shù)據(jù)，redis，MongoDB，ssh也有某些https業(yè)務(wù)流程，這當(dāng)中Mysql數(shù)據(jù)版本號為8.0.17，在這個版本號，系統(tǒng)漏洞或多或少都修補(bǔ)的差不多了，接下去試著mongodb未授權(quán)許可系統(tǒng)漏洞，不出所料，修復(fù)漏洞了；再試著弱口令相連接，也找不到，以后通過其他的信息收集技巧，臨時對總體目標(biāo)業(yè)務(wù)流程信息內(nèi)容有了1個非常簡單的認(rèn)識，接著依然返回https業(yè)務(wù)流程，試著從web頁面下手。

系統(tǒng)漏洞檢測

之前在檢測這種網(wǎng)站的過程中，發(fā)覺這一項目的運(yùn)維特感興趣應(yīng)用網(wǎng)站名字加年代的組成動態(tài)口令；依據(jù)這一有價值信息內(nèi)容，融合之前搜集到的歷史賬戶密碼和總體目標(biāo)網(wǎng)站的有價值信息內(nèi)容來產(chǎn)生一個小組成動態(tài)口令詞典，接著再融合burp實現(xiàn)暴破，果不其然不一會兒，賬戶密碼出來~~以后記錄查詢下賬戶密碼，再次登錄時，卻發(fā)覺后臺管理發(fā)生了這一狀況，如下所示：此刻的第一反應(yīng)是，網(wǎng)站會不會布署了waf，ip地址被禁了？接著應(yīng)用手機(jī)移動網(wǎng)絡(luò)點開也一樣這樣，之后找業(yè)務(wù)流程方了解了下狀況，就是說不能用admin登錄，要不然會發(fā)生異常。

綜合檢測后發(fā)掘存在的漏洞還不少，一些包含文件漏洞可以執(zhí)行，直接上傳腳本拿下了權(quán)限，至此結(jié)束，建議大家有需求對自己網(wǎng)站或APP進(jìn)行全面的安全檢測的話可以去網(wǎng)站安全公司那里去看看，國內(nèi)做的比較專業(yè)的如SINESAFE,鷹盾安全，啟明星辰等等。

網(wǎng)頁標(biāo)題：多個角度分析滲透測試網(wǎng)站安全性能
網(wǎng)頁路徑：http://chinadenli.net/article30/gdgjpo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站制作、用戶體驗、網(wǎng)站維護(hù)、商城網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)