网络安全实验十三 渗透测试项目

简介: 网络安全实验十三 渗透测试项目

一、实验目的

1、利用网站漏洞获取该服务器shell;(网页关入侵--铜牌任务)

2、新建一用户并将权限提升至管理员;(入侵提权--银牌任务)

3、获得服务器上的关键敏感数据(C:\console)内。(信息窃取--金牌任务)

二、实验环境

某互联网公司授权你对其网络安全进行模拟黑客攻击渗透。在XX年XX月XX 日至XX年XX月XX日,对某核心服务器进行入侵测试,据了解,该web服务器(10.1.1.178)上 C:\consle存储有银行的关键敏感数据。实验工具可在实验机内的“c:\tools”中找到和访问:http://tools.hetianlab.com/tools/ 找寻。

三、实验内容与实验要求

1.利用网站漏洞获取该服务器shell;(网页关入侵--铜牌任务)

步骤:写一个.jpg的木马文件,更改浏览器设置代理为127.0.0.1:8080,打开burpsuite的intercept is on,再上传jpg,上传的请求就发给burpsuite,把后缀名改为php,再点击forward放行,.php就可以上传了。打开中国菜刀的exe文件,编辑添加木马文件地址,添加后双击,连上了。

2、新建一用户并将权限提升至管理员;(入侵提权--银牌任务)

步骤:在虚拟终端输入创建一个名叫hacker密码为111111的用户,但直接添加到管理组提升不了权限,远程桌面过去,输入账号hacker密码111111即可登录,登陆后发现没有administrators这个组,用whoami /all查看获取本地系统上所有用户(访问令牌)的用户名和组信息,注意到第一个的类型是别名(另外两个是已知),改名将hacker添加到管理组,成功执行,可以看到组成员多了一项。

3、获得服务器上的关键敏感数据(C:\console)内。(信息窃取--金牌任务)

步骤:再次登陆远程桌面,添加新连接,登录远程主机后,对此文件夹还是没有权限,右击,修改一下文件夹的安全属性,添加hacker的权限为完全控制,再次双击打开,成功获取信息,完成任务。

四、实验过程与分析

五、实验结果总结

通过实验学习到利用网站漏洞获取该服务器shell,新建一用户并将权限提升至管理员以及获得服务器上的关键敏感数据内。刚开始进入时经常出错,访问页面不显示,后来通过和同学交流才得以解决。

目录
相关文章
|
2月前
|
安全 虚拟化
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
51 5
|
3月前
|
安全 网络安全
Kali渗透测试:使用Armitage扫描网络
Kali渗透测试:使用Armitage扫描网络
76 3
|
1月前
|
Linux Shell 网络安全
Kali Linux系统Metasploit框架利用 HTA 文件进行渗透测试实验
本指南介绍如何利用 HTA 文件和 Metasploit 框架进行渗透测试。通过创建反向 shell、生成 HTA 文件、设置 HTTP 服务器和发送文件,最终实现对目标系统的控制。适用于教育目的,需合法授权。
66 9
Kali Linux系统Metasploit框架利用 HTA 文件进行渗透测试实验
|
2月前
|
机器学习/深度学习 算法 UED
在数据驱动时代,A/B 测试成为评估机器学习项目不同方案效果的重要方法
在数据驱动时代,A/B 测试成为评估机器学习项目不同方案效果的重要方法。本文介绍 A/B 测试的基本概念、步骤及其在模型评估、算法改进、特征选择和用户体验优化中的应用,同时提供 Python 实现示例,强调其在确保项目性能和用户体验方面的关键作用。
46 6
|
2月前
|
机器学习/深度学习 算法 UED
在数据驱动时代,A/B 测试成为评估机器学习项目效果的重要手段
在数据驱动时代,A/B 测试成为评估机器学习项目效果的重要手段。本文介绍了 A/B 测试的基本概念、步骤及其在模型评估、算法改进、特征选择和用户体验优化中的应用,强调了样本量、随机性和时间因素的重要性,并展示了 Python 在 A/B 测试中的具体应用实例。
37 1
|
2月前
|
监控 安全 测试技术
如何在实际项目中应用Python Web开发的安全测试知识?
如何在实际项目中应用Python Web开发的安全测试知识?
40 4
|
2月前
|
网络协议 关系型数据库 应用服务中间件
【项目场景】请求数据时测试环境比生产环境多花了1秒是怎么回事?
这是一位粉丝(谢同学)给V哥的留言,描述了他在优化系统查询时遇到的问题:测试环境优化达标,但生产环境响应时间多出1秒。通过抓包分析,发现MySQL请求和响应之间存在500毫秒的延迟,怀疑是网络传输开销。V哥给出了以下优化建议:
|
3月前
|
测试技术
自动化测试项目学习笔记(五):Pytest结合allure生成测试报告以及重构项目
本文介绍了如何使用Pytest和Allure生成自动化测试报告。通过安装allure-pytest和配置环境,可以生成包含用例描述、步骤、等级等详细信息的美观报告。文章还提供了代码示例和运行指南,以及重构项目时的注意事项。
359 1
自动化测试项目学习笔记(五):Pytest结合allure生成测试报告以及重构项目
|
2月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
3月前
|
测试技术 Python
自动化测试项目学习笔记(四):Pytest介绍和使用
本文是关于自动化测试框架Pytest的介绍和使用。Pytest是一个功能丰富的Python测试工具,支持参数化、多种测试类型,并拥有众多第三方插件。文章讲解了Pytest的编写规则、命令行参数、执行测试、参数化处理以及如何使用fixture实现测试用例间的调用。此外,还提供了pytest.ini配置文件示例。
73 2