⑴ 網站拿下後台之後怎麼提權WEBSHELL 怎麼在後台修改他的網頁
後台不能修改網頁,只能上傳圖片或修改文章,但不要隨便修改別人的網頁。後台提權拿webshell的方法有很多,簡單點的就是上傳抓包、資料庫備份等。再看有沒有ewebeditor漏洞
⑵ 網站怎麼提權
拿到好多WEBSHELL,但都是只限於瀏覽器界面簡單查看,拿不到管理員許可權,用SERV-U提權自己加帳號,顯示成功,但是用net user查看還是沒有,用3389連接還是連不上,哪位大大教一下怎麼辦
另誠心尋找志同道合的朋友一塊,進步
不要只用SHELL的埠掃描!用你自己的掃描他的埠!掃到有21的,用你的CMD輸入FTP 回車
「open IP地址」回車,看反饋什麼,要是有 什麼什麼SERV-U 6.0或者其他版本基本都可以提權成功!成功後很可能3389連不上!因為他的WEB是內網的,而你掃描的你他外網的機器不是一台!我也是新手呵呵~
⑶ 網站後台已近進去了,怎麼提權webshll
提權嗎,把後台文件當圖片上傳,找到「圖片」(後台文件)的地址,復制進地址欄,OK
⑷ 如何網站提權
呵呵,提權的方式可以通過serv-u提權,可以通過mssql提權
方式很多
但是現在一般的伺服器安全都做的不錯的,除非是以前的老伺服器,或個人配置的伺服器
建議可以學習提權,盡量少搞破壞。畢竟人家做個網站不容易的
⑸ 個人網站怎麼優化和快速提權
優化網站這個課題學問非常之大,要真正地學起來,可能一輩子都學不完。對於一些網路高手來說,網站要優化得很好也不是一件容易的事來的,何況是我們這些網站新手朋友呢?對於新手朋友來說,不懂代碼優化,能不能有一些適合他們的方法呢?有的
我自己結合做網站的經驗和比較一些網路高手寫的關於網站優化的知識,總結了一些適合網站新手優化自己第一個站的方法:
方法/步驟
網站首頁的3個東西一定有做好。這3個東西是什麼來的呢?TITLE、KEY、DIS,這3個做好了一開始對搜索引擎的收錄是有一定的好處的。TITLE:標題,就是關於你這個網站的主題的一句話介紹或者簡介,這句話裡面可以放上1到2個關鍵詞。KEY:關鍵詞,有你網站所涉及的主要關鍵片語成,新站這里不要放太多或者重復的關鍵詞,放3到5個就可以了。隨著網站流量的增多,網站權位的增高,這里可以多放幾個關鍵詞是無所謂的。如果新站一下子放很多,搜索引擎會當做作弊來處理的。DIS:描述,這里是些一到兩句話來概括你這網站的整體內容的,裡面也可以放上幾個你要優化的關鍵詞的。上面三個不用什麼技術就可以完成的了,而且對網站的關鍵詞收錄是很好的,新手在這里一定要做的一步工作。
網站內容一定要原創。很多網路新手急於求成,恨不得馬上在自己的網站上添加好幾十萬篇文章。呵呵,就算你能做到,對你網站只是有害無益的。網站新手一定要養成一種好習慣,站內文章一定要原創,不要採集別人的文章,對網站收錄一點也不好,搜索引擎來了一次可能不會再來了。昨晚就有個網友問我他的站為什麼網路一直都沒有收錄呢?我問他站內文章怎麼添加的,他說是採集回來的。不用說了,網路不收錄就是這個原因。 網站圖文要有一定的比例。搜索引擎一般在網站收錄的都是文章,圖片和FLASH相對來說是很少的,但為了網頁的美觀,圖片一定要有的,但是兩者的比例一定不能對等,文章要相對多一些。有人會說假如我做圖片站的呢?那你就要在圖片的描述上花一定功夫了,在插入圖片時的ALT文檔就一定要寫。到底圖文比例多少才好呢?其實這個要根據網站的內容來定的,還有網站的風格來定的。 網站導航。每個網站都應該有一個導航頁,是HTML格式的,這也是搜索引擎最喜歡的,所以一定要做一頁網站導航。
網站內鏈接。網站外鏈接對新手的網站來說比較難做,畢竟網站流量不大、PR值不高,但可以操作的是提高網站的內鏈,這對搜索引擎來說也很利的。在網站的主要頁面一定要有全站的一個鏈接,還有文章的內容涉及到網站關鍵字的也應該要有鏈接,雖然這樣做比較辛苦,而且還比較麻煩,但對新手沒有技術來說是很有用的。
⑹ 如何提高網站權重
1.更新頻率
網站剛上線,需要每天更新文章,最好每天更新10篇,因為剛上線的網站網路會對我們的網站有一個考核期,必須堅持每天更新。最好在晚上7點以前發布,固定更新的時間,這樣可以讓網路蜘蛛形成習慣,到時間就會自動抓取你文章的內容,從而達到快速收錄。
2.關鍵詞庫
關鍵詞庫的數量以及關鍵詞庫的排名也是提高網站權重的重要因素。關鍵詞、長尾關鍵詞等通過搜索框、網路下拉、相關推薦可以找到,也可以通過5118挖詞工具來進行關鍵詞的挖掘。通過網路推廣客戶端做好關鍵詞的創意、出價和排名。
3.收錄數量
網站剛上線,除了每天更新文章之外,還要注意查詢網站的收錄數,可以通過站長工具來查詢文章的收錄情況。
4.網站內容
網站最核心的還是網站的內容質量,原創最好,蜘蛛最喜歡原創內容,當然也可以偽原創或者轉載其他人的文章。內容做好了,網路蜘蛛才有抓取的東西,也才會有收錄。我們要做的就是去迎合蜘蛛的喜好,吸引蜘蛛來到我們的網站。
5.用戶體驗
網站做好最終是展示給用戶看的,所以用戶體驗就非常重要,用戶包括蜘蛛和搜索者,當用戶搜來到我們的網站,才點開就關閉了,那麼這就叫跳出率高,用戶體驗低,我們要做的就是讓跳出率降低,讓用戶在我們的網站上停留時間變長,站在用戶搜索的角度去進行網站的合理布局。
⑺ windows靶場提權總結
最近做了幾個i春秋的靶場,從getshell到提權,練習的還是很全面的,這里主要對提權做個總結。
先從提權反推一下思路: 提權 -> 上傳提權工具 -> 找上傳點 -> 連接菜刀getshell -> 寫入或上傳一句話 -> 找到寫入點或上傳點
一句話的寫入點或上傳點大多都是在管理後台發現的,因為用戶的許可權較低,可以操作的功能也較少,而且對於用戶的輸入或上傳也有很嚴格的過濾機制,所以使用用戶許可權來寫入或上傳一句話的成功率很低。
那麼就需要登錄管理後台來寫入或上傳一句話,登錄管理後台有兩個條件: ①找到管理後台 。 ②拿到管理員賬號和密碼 (爆破也可以,但是成功率很低,這里就不多做討論了)。登錄進管理員後台後,就可以測試哪個地方可以利用,可以上傳或寫入一句話了。然後就是上面的一系列操作,最後拿到flag。
拿我做的這幾個靶場為例,首先打開瀏覽器看到頁面,發現都是一些CMS,從頁面信息可以知道CMS版本等信息,然後信息搜集看看這個版本之前有沒有爆出過漏洞,如果有SQL注入最好,可以嘗試通過注入拿到管理員賬號、密碼。當然也可以使用其他的方法,怎麼猥瑣怎麼來。
然後掃描目錄,如果管理員沒有修改CMS的默認目錄的話,管理後台還是很好掃出來的,如果修改過就比較困難了,就看你的字典強不強大了。當然也可以利用一些其他方法,比如信息泄露,如果是dedeCMS的話可以嘗試訪問 /data/mysqli_error_trace.inc 路徑或 /data/mysql_error_trace.inc 路徑,有可能會爆出後台路徑。
拿到賬號密碼和管理後台路徑後就可以登錄後台了,然後尋找哪個地方可以執行一句話,比如上傳圖片馬然後利用文件包含或解析漏洞執行一句話,或者試一下發表文章功能,試一下網站配置信息。反正姿勢越猥瑣越好。
拿到一句話的路徑後可以連菜刀了,連上菜刀後由於許可權問題,C盤一般是沒有讀寫許可權的,而大多數flag都放在C盤,所以我們就要找一個有上傳文件許可權的目錄上傳提權工具進行提權,這里著重總結兩種提權方法。
利用 CVE-2009-0079 的漏洞,工具: Churrasco.exe + cmd.exe + 3389.bat ,其中 cmd.exe 是為了代替原伺服器中許可權受限的命令行交互環境,Churrasco.exe 是用於提權的漏洞利用工具,3389.bat 是打開 3389 埠及遠程桌面服務的批處理腳本文件。
提權命令:
同樣是利用 CVE-2009-0079 的漏洞,工具: pr.exe + cmd.exe + 3389.bat ,與churrasco類似,命令和churrasco提權命令一樣,不過第一次輸入命令會報錯,再輸入一遍就好了。
iis.exe 與前兩者不同,是基於 CVE-2009-1535 漏洞的提權工具,工具: iis6.exe + cmd.exe + 3389.bat ,用法與前兩種工具類似,第一次創建用戶時也可能會報錯,若創建失敗,再次執行即可。
現在提權已經完成了,打開CMD輸入 mstsc 啟動遠程桌面登錄,輸入目標ip和剛才創建的用戶的登錄賬號密碼就可以遠程訪問伺服器了,然後進入C盤拿到flag即可。
參考鏈接:
【i春秋】滲透測試入門 —— 我很簡單,請不要欺負我