2021-10-25记一次失败的实战授权的渗透测试
欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注
注:根据中华人民共和国9.1发布的新网络空间安全法,这次渗透的过程是完全合理合法在授权范围内的,如果有认为我是非法渗透,那么律师函警告(手动艾特菜虚鲲)。本文中出现的一切网站信息,均是打码处理,所有人名信息,全部马赛克,仅仅重视技术本身,不做任何非法事情,做完测试后积极联系相关人员,告诉他们如何修补!漏洞已经完全修复!所以我才发的,,,测试用时2天,限定一周包括报告撰写,测试费用赚取1500.稿费50.
那么,let`s go!
一、外网打点
常规信息收集,oneforall,fofa,shadon,灯塔/棱镜/goby。
大概得到信息如下:
孤儿站,没什么好公开信息收集的…… 收集了一堆没用的,然后直接准备开搞了……
二、寻找突破口
肯定不能上大规模扫描器呀。先是手测,发现在登陆界面的username处存在布尔盲注!
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!