2022年全国职业院校技能大赛“网络安全”竞赛试题文件上传渗透测试答案Flag

B-9任务九：文件上传渗透测试
*任务说明：仅能获取Server9的IP地址

1.通过渗透机Kali2.0对服务器场景Server9进行网站目录暴力枚举测试（使用工具DirBuster，扫描服务器80端口），选择使用字典（使用默认字典directory-list-2.3-medium.txt）方式破解，并设置模糊测试的变量为“{dir}”，将回显信息中从上往下数第六行的数字作为Flag值提交；

200

2.通过渗透机Kali2.0对服务器场景Server9进行网站目录暴力枚举测试（使用工具DirBuster，扫描服务器80端口），通过分析扫描结果，找到上传点并使用火狐浏览器访问包含上传点的页面，并将访问成功后的页面第一行的第一个单词作为Flag值提交；

Upload

3.访问成功后上传名为backdoor.php的php一句话木马至服务器，打开控制台使用网站安全狗检测本地是否存在木马，若检测出存在木马，则将木马所在的绝对路径作为Flag值提交，若未检测出木马则提交false；

c:/appserv/www/uploadfile/uploads/uploads/backdoor.php

4.通过渗透机Kali2.0对服务器场景Server9进行文件上传渗透测试，使用工具weevely在/目录下生成一个木马，木马名称为backdoor.php，密码为pass，该操作使用命令中固定不变的字符串作为Flag值提交；

weevely generate pass /backdoor.php

5.上传使用weevely生成的木马backdoor1.php至服务器中，打开控制台使用网站安全狗检测本地是否存在木马，若检测出存在木马，则将木马所在的绝对路径作为Flag值提交，若未检测出木马则提交false；

c:/appserv/www/uploadfile/uploads/uploads/backdoor.php

6.通过渗透机Kali2.0对服务器场景Server9进行文件上传渗透测试（使用工具weevely，连接目标服务器上的木马文件），连接成功后将目标服务器主机名的字符串作为Flag值提交；

PC6249546

7.开启网站安全狗的所有防护，再次使用weevely生成一个新的木马文件并将其上传至目标服务器，将上传后页面提示的第二行内容作为Flag值提交；

Upload failed

8.开启网站安全狗的所有防护，再次使用weevely生成木马文件并将其上传至目标服务器，要求能够上传成功，将生成该木马必须要使用的参数作为Flag值提交。

generate.img
赛事讨论扣扣群+421865857