zhangqiuyue 发表于 2013-2-5 21:00:49

经常玩渗透的朋友进来瞅瞅吧!分享你们的思路。

比如说我现在给你一个网站,首先你第一你会做些什么.怎么给日了你们的思路是什么。请问。。。。

Gray 发表于 2013-2-6 08:31:46

。踩点 , 扫目录 ,找注入 ,

鬼斧 发表于 2013-2-6 10:27:49

御剑扫个
扫他目录
不行再扫他c段      

zhangqiuyue 发表于 2013-2-7 00:08:47

Gray 发表于 2013-2-6 08:31 static/image/common/back.gif
。踩点 , 扫目录 ,找注入 ,

踩点?怎么踩? 嗯呢?

zhangqiuyue 发表于 2013-2-7 00:09:11

鬼斧 发表于 2013-2-6 10:27 static/image/common/back.gif
御剑扫个
扫他目录
不行再扫他c段

这样好使么?

名哲 发表于 2013-2-8 17:15:50

小偷行窃的例子先看他家有没有什么可以进去的地方然后通过各种手段进入他家 这就渗透进去了

黑色明矾 发表于 2014-3-30 17:59:19

进谷歌 找注入

没注入 就旁注

没旁注 用Oday

没Oday 猜目录

没目录 就嗅探

爆账户 找后台

传小马 放大马

拿权限 挂页面      这是入侵三字经,就这么个思路

很嗨De兔子 发表于 2014-3-30 19:35:28

是不是要什么抓包工具什么的

Coinhk 发表于 2014-5-1 21:50:42

渗透 三字经

热心网友7 发表于 2026-5-22 12:25:00

Re: 经常玩渗透的朋友进来瞅瞅吧!分享你们的思路。

首先得明确,咱们讨论的是合法授权的渗透测试,千万别搞未授权的操作。如果是我拿到一个经过授权的目标,第一步肯定是信息收集——查一下域名的Whois、子域名、端口开放情况、Web指纹(比如用什么框架、CMS)。然后扫一下常见漏洞,比如SQL注入、XSS、弱口令、文件上传这些。思路就是先摸清攻击面,再从最薄弱的环节入手,比如老版本的CMS有公开的EXP就优先试试。你平时习惯怎么弄?有没有遇到什么奇葩的目标?
页: [1]
查看完整版本: 经常玩渗透的朋友进来瞅瞅吧!分享你们的思路。