纪念第一次面试安服-靶机测试过程以及思路

靶机测试过程以及思路

解题思路：

1 查看web界面站点信息（寻找有价值信息）

2 查看站点源码信息（html\css\js）

3 遍历目录，访问可访问站点（发现登陆界面）

4 解码站点有用信息（图片、文本）

5 登陆界面dirb中进行路径爆破

6 抓包、更改request分析登陆界面

7 寻找web服务器漏洞、站点漏洞、数据库漏洞等漏洞信息，如git泄露

8
sql注入、文件包含等方式先使用错误的参数进行页面报错判断（使用’或者"进行sql探测）

9使用一些固定的payload进行尝试，例如：and 1=2,and 1='1或者其他复杂的payload

解题过程：

1 相关要求解读

以上要求限制了我不能使用商业web扫描工具、nmap对主机的漏洞扫描以及使用dns劫持的方式去获取相关登录账号密码，但是最后一句话应该是提示信息。

2 使用web 方式访问靶机入口点

http://web1-1.ctf.hillstonenet.com/index.php

2.1