Fomzy-teck/tryhackme-webserver-pentest-report

渗透测试项目 - Web 服务器漏洞利用 平台：TryHackMe 评估类型：黑盒 Web 应用程序与主机渗透测试 环境：受控实验室 本项目展示了在实验室环境中针对易受攻击的 Web 服务器进行的端到端完整渗透测试。目标是识别漏洞、利用漏洞、提升权限，并根据行业标准提供修复建议。 展示技能 侦察与枚举（Nmap, Gobuster） Web 漏洞利用（文件上传绕过） Burp Suite Intruder 模糊测试 反向 shell 部署与 Netcat 监听器 通过系统配置错误进行权限提升 漏洞报告与文档编写 CWE 与 OWASP 映射 修复与缓解计划 亮点 类别 结果 初始访问 通过不受限制的文件上传实现远程代码执行 用户沦陷 获取 BILL 用户账户的访问权限 权限提升 通过配置错误的 systemctl 获取 Root 权限 最终影响 全面控制系统 参考标准 CWE-434：不受限制的文件上传 CWE-269：不当的权限管理 OWASP Top 10 - A5：安全配置错误 OWASP Top 10 - A3：注入 ➡️ 在此处查看报告： https://github.com/Fomzy-teck/tryhackme-webserver-pentest-report/blob/main/Penetration%20Testing%20Report.pdf 免责声明 本项目仅在受控实验室环境中出于教育目的进行。 未对任何真实系统造成损害。 👩🏽‍💻 作者 Ufuoma Unuawotota (Fomzy) 📌 渗透测试员 | 道德黑客学习者

标签：Burp Suite, CISA项目, CTI, CWE-269, CWE-434, GitHub Advanced Security, Netcat, Nmap, OWASP Top 10, RCE, systemctl提权, TryHackMe, Webshell, Web安全, Web报告查看器, Web服务器漏洞利用, 代码执行, 协议分析, 反弹Shell, 大数据, 安全加固, 安全报告, 文件上传绕过, 权限提升, 权限配置不当, 漏洞修复建议, 目录扫描, 系统提权, 网络信息收集, 网络安全, 网络安全审计, 蓝队分析, 虚拟驱动器, 隐私保护, 靶机实战, 黑盒测试