图5获取数据库用户等信息
经过测試获取、、后无其他子域名信息
(2)OSS帐号2详细信息
3.通过OSS客户端进行连接并查看文件
(1)登录OSS客户端。将前面对应操作系统的OSS客户端下载箌本地阿里云官方版本为1.7.4最新版本为1.8.1,运行oss-browser程序后输入AccesskeyId和AccessKeySecret进行登录,如图14所示
图14使用OSS客户端进行登录
(2)查看其OSS文件存储文件
如图15所示,登录起OSS文件存储服务器后该服务器主要存储图片文件,目标服务器CMS所有图片及对应文件均上传到OSS服务器上选中对应的文件夹后鈳以将其下载到本地。
1.多种技术交叉配合使用技术难度不高
(1)在本案例中使用弱口令测试
(2)MySQL服务器文件读取
(3)MySQL数据库文件导出
(5)OSS帐号及登录OSS服务器查看
2.通过分析服务器上数据库,获取该CMS早期版本通过分析其文件发下数据库文件备份后可以被下载。
(1)数据库备份时会自动生成一个记录该记录即为数据备份文件夹名称,例如为文件名称则详细的下载地址为:
(2)即使无Root权限,也可以获取数据庫文件将数据进行备份,然后下载即可如图16所示,按照命名规则进行下载即可
(1)在本文中,Linux服务器已经进行严格的权限设置
(2)MySQL數据库账号权限不宜为Root权限一个数据库用户对应一个数据库,最少授权
(3)CMS中不要留有SQL查询公开接口,该接口会成为突破的缺口
(4)后台结合手机验证码进行登录验证,即时弱口令也无法登录
如果觉得本文不错,请访问作者更多精彩专栏文章:和
|