纪念第一次面试安服-靶机测试过程以及思路

靶机测试过程以及思路

解题思路:

1 查看web界面站点信息(寻找有价值信息)

2 查看站点源码信息(html\css\js)

3 遍历目录,访问可访问站点(发现登陆界面)

4 解码站点有用信息(图片、文本)

5 登陆界面dirb中进行路径爆破

6 抓包、更改request分析登陆界面

7 寻找web服务器漏洞、站点漏洞、数据库漏洞等漏洞信息,如git泄露

8
sql注入、文件包含等方式先使用错误的参数进行页面报错判断(使用’或者"进行sql探测)

9使用一些固定的payload进行尝试,例如:and 1=2,and 1='1或者其他复杂的payload

解题过程:

1 相关要求解读
纪念第一次面试安服-靶机测试过程以及思路_第1张图片

以上要求限制了我不能使用商业web扫描工具、nmap对主机的漏洞扫描以及使用dns劫持的方式去获取相关登录账号密码,但是最后一句话应该是提示信息。

2 使用web 方式访问靶机入口点

http://web1-1.ctf.hillstonenet.com/index.php

2.1

你可能感兴趣的:(安服学习以及实战演练,安全)