getshell学习总结

1.利用文件上传漏洞,找文件上传处想办法上传php文件。一些网站在设置可以允许修改上传的文件类型则直接添加php有时候会还有检测是否为php文件,可以通过文件名变形,大小写,双写等形式绕过,只要是黑名单的都比较好绕过很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况这种情况直接上传一个.hatccess文件覆盖这个,让其失效。或者上传不重命名的话上传../../shell.

- 阅读全文 -

漏洞探测总结

信息搜集1.渗透目标采用fofa 谷歌语法 友情连接等方式批量搜索2.信息收集(收集源IP、端口信息、操作系统版本、中间件、框架等)信息收集在此不做过多缀述了,因前面已经有大佬在第一期的文章里相当做了大部分的信息收集工作说明了,在此本菜鸡就弱弱的做补充,关于一些web框架、CMS(整站系统)和中间件的一些探测技巧。Web框架探测技巧1.上插件此插件名为魔眼。魔眼是魔工坊出自的一款基于最新前端技术的

- 阅读全文 -