步骤一:选目标

1. 不建议太小的公司(可能都是请别人来开发的,用现成成熟的框架)

2. 不建议一线大厂:腾讯,字节,阿里等,你懂的

3. 不建议政府部门,安全设备多,每年有护网,报警你就死

建议:找上市公司与子公司,有开发人员,就有漏洞

重点:先在天眼查那些找域名

所有上市公司链接:https://q.10jqka.com.cn

子公司:在官网上找

步骤二:优先找登录入口

1. 用户名枚举

2. 寻找关键信息,看看官网有没有一些文章发布人的姓名,然后使用工具枚举账号,枚举成功后拼接密码尝试登录

3. 寻找针对性账号信息,比如:请用学生号登录,请用公司名称登录之类的

4. 手机号枚举,先选移动,电信,联通的号码段,然后看公司地区进行枚举(多人用的大公司后台才建议枚举,小公司的后台就不建议了)

5. 枚举建议用10个线程来跑,比较少概率封IP

6. 弱口令字典1000个左右就可以了(反而用户名要多一点)

7. 看一下有没有系统操作手册可以有测试账户信息,提供新的枚举思路

【web安全】渗透测试实战思路-LMLPHP

8. 验证码绕过:去掉验证码,留空验证码,重复利用验证码,万能验证码(0000,9999……)

9. 爆破验证码:4位验证码的话可以直接爆破

10. 爆破密码:有md5的话,可以在burp设置自动加上MD5        

11. 爆破API:如果出现这种接口,就要思考为什么有V2,是不是V1版本接口有漏洞?

【web安全】渗透测试实战思路-LMLPHP

12. 爆破数据包参数:accountTypeEnum的值为PHONE,当前是手机号登录,能不能替换成别的呢?比如:NICKNAME,ANY,MAIL等等

13. 文件枚举 -> 递归枚举

14. 文件后缀名枚举:既然有 login.t ,会不会有其他 passwd.t 的文件呢?

15. js信息收集

16. js代码还原:source map

17. 利用grepWin工具可以搜索js代码还原后的一些关键词

18. 接口提取,JSFinder工具

19. 观察接口报错,灵活处理,比如填写所需参数

【web安全】渗透测试实战思路-LMLPHP

20. 小程序,反编译处理,获取前端代码,可以用js-beautify工具美化

21. 垂直越权,只要通过了拦截器的校验,就可以用普通用户的身份随意调用root权限的接口

22. 垂直越权2,比较容易出高危,比如商城有这个用户,但是订单管理后台没有这个用户,拿着token都能登录成功

23. SQL注入:预编译防御对 order by 后的位置是不起作用的,原理文章:https://blog.csdn.net/hrayha/article/details/121941302

【web安全】渗透测试实战思路-LMLPHP

【web安全】渗透测试实战思路-LMLPHP

【web安全】渗透测试实战思路-LMLPHP

price, if((1=1),1,(select 1 union select 2))
price, if((1=2),1,(select 1 union select 2))

1=1 的时候正常返回数据,1=2 的时候,服务器报错

【web安全】渗透测试实战思路-LMLPHP

然后sqlmap一把梭

24. 教育src,搜索学号

site:xxx.edu.cn 学号

25. 修改返回数据包,得到不一样的角色,比如返回的是学生,改成老师,那么功能就多起来了,可以现在前端寻找js代码里面有的角色名

26. burp测试ssrf漏洞

27. 把渗透过程中的信息都记录下来

02-19 04:48