TESTLABV8在线渗透实验室

Testlab是一个类似于OffensiveSecurity试验室的免费在线渗透测试虚拟实验室。 测试自然环境包括13个系统软件,每个系统都有不同的漏洞和不正确的设备。 在每个系统软件中,通常有一个Token,人们必须寻找它并发送它来认证系统软件。

首先,你必须在这里申请注册。申请注册后,您可以在那里获得VPN配置文件和动态密码。 在一开始之前,人们建议你使用KaliLinux,这有利于你的目标,因为所有的特殊工具。

有两个网络iP192.168.101.6和192.101.7。 根据第一个网络iP,只浏览三个系统软件,它们是Site、Cabinet和Sh-Dev。 根据下一个网络iP,您可以浏览其余的设备。 在第一部分,人们将占领两个系统的软件网站和卡比内特,其他设备将再次克服下一部分。

因此,关键的总体目标是网站和卡宾特,他们可以根据192.168.101.6浏览。 我们一起工作吧。

在山雀上,人们发现了两个开放的口号,90和443。 使用计算机浏览器浏览iP和90端口号,显示信息是SAS金融机构的程序,具有登录效果。

人们预览手机应用程序,并询问其源头,以寻找一些案件线索,但没有注意到。 运行Dirb专用工具枚举文件目录,命令。

经过特殊工具的操作,人们注意到每一个请求都没有答复,所有这些都是403,这代表严禁浏览。 当你试图打开一个手机应用程序中找不到的网页时,它会回到一个403无响应代码。

这表明服务器防火墙入侵了人们的恳求。 现在,对于迪尔伯特殊工具的调整,增加了一个主要的参数,这主要参数允许人们确定一个不同的useragent。 在这种情况下,人们提高了lceweasel电脑浏览器的useragent的指示。

现在人们看到了不同的水果,人们得到了403和150的回应。 使用打开浏览器。 你发现了一些非常感兴趣的东西。 然后打开关键/HEAD文件。 文件目录可以浏览。 这表明其他配置文件也可以浏览。 它可以免费下载。 有一个名为DVCSRipper的特殊工具,它可以免费从网站上下载所有的.GIT仓库,前提是文件目录可以浏览。

人们预测手机应用程序的所有来源。 从Databaseeder.Python寻找两个登陆凭证。 该文件位于App/Database/seeds文件目录中。

就像胡须一样。 人们找到了接口文件目录。 试着打开这份文件的目录。 它回到了一个错误的地方。 YoucanuseGXG/接口文件/接口文件/Balance。 。

因此,人们转向下一份文件目录接口文件/Balance。浏览后,它回归不正确,必须填写接口文件。

人们提高了两个必须的主要参数。 使用自然的价值。 然后浏览网页地址。 它回到了另一个信息。 接口文件的值班必须是50字。

我们一起试着推出SQL,给托肯的主要参数一个纯手工制作的50字SQL引入句子,然后上传请求。

SQL的引入取得了成功。 回到所有的电子邮件。 在阅读了所有的电子邮件之后。 人们选择了拉尔·韦斯特法尔的伊马尔。 因为它包括网站域名。

现在人们必须回到一个合理的电子邮件/接口文件页面。 人们根据EMAIL的主要参数提交了EMAIL。 现在它已经回到了一个不同的错误信息。 帕斯伍德或电子邮件是不正确的。

在这个例子中。 150%的人是合理的。 因为如果人们出示了一个任意的电子邮件。 它会显示信息。 电子邮件的选择失败了。 信息内容。 现在人们必须登录密码,使用BurpSuiteproxy来猜测Password的主要参数。

人们预览upload文件夹的名称,试图浏览Pythonshell文件,尽管手机应用程序不正确,但文件仍在那里。

现在人们有一个限制,预览所有的root文件目录,并在/var/WWWW/文件夹中找到Tok档案。



免责声明:文章《TESTLABV8在线渗透实验室》来至网络,文章表达观点不代表本站观点,文章版权属于原作者所有,若有侵权,请联系本站站长处理!



上一篇:QQ黑客软件
下一篇:WAP手机定位CDMA手机定位黑客联盟
您可能感兴趣:
  • 黑客接单黑客头像
  • QQ: