网站设计构想,跑腿app开发,二度云自助建站系统,中国建筑装修网漏洞指北-VulFocus靶场01-入门 VulFocus靶场前置条件#xff1a;入门001 命令执行漏洞step1#xff1a; 输入默认index的提示step2#xff1a; 入门002 目录浏览漏洞step1#xff1a;进入默认页面#xff0c;找到tmp目录step2 进入tmp目录获取flag文件 VulFocus靶场前置条… 漏洞指北-VulFocus靶场01-入门 VulFocus靶场前置条件入门001 命令执行漏洞step1 输入默认index的提示step2 入门002 目录浏览漏洞step1进入默认页面找到tmp目录step2 进入tmp目录获取flag文件 VulFocus靶场前置条件
该靶场的web页面是80端口为了避免端口冲突靶场后台每一个漏洞会启动docker漏洞的80端口会被映射到其他端口来代替比如下图访问23744就是实际漏洞环境的80端口。
入门001 命令执行漏洞
命令执行Command Execution漏洞可以直接在Web页面中执行系统命令从而获取敏感信息或者拿下shell权限 。 原因是Web服务器对用户输入命令安全检测不足导致恶意代码被执行 解决方案
step1 输入默认index的提示 step2 拼接指令cmd ls /tmp cmd就是执行shell的命令 常见的flag一般都是在/tmp页面下 注意‘ ’的符号是%20 后面玩捉迷藏有时候会用到这个点。 flag已经被Get将内容输入到靶场页面即可后续不会再对此过程机械能说明仅到找到flag结束
入门002 目录浏览漏洞
目录浏览漏洞由于网站存在配置缺陷存在目录可浏览漏洞这会导致网站很多隐私文件与目录泄露比如数据库备份文件、配置文件 原因目录没有默认首页文件或没有正确设置默认首页文件将会把整个目录结构列出来将网站结构完全暴露给攻击者 攻击者可能通过浏览目录结构访问到某些隐秘文件 解决方案
step1进入默认页面找到tmp目录 step2 进入tmp目录获取flag文件
