当前位置: 首页 > news >正文

政府采购网站的建设情况google store

政府采购网站的建设情况,google store,为什么要做企业官网,免费自建网站步骤0x01 前言 https://github.com/J0o1ey/BountyHunterInChina 欢迎大佬们点个star 0x02 资产收集到脆弱系统 在某src挖掘过程中,本人通过ssl证书对域名资产进行了收集,通过计算域名对应ip段的权重 整理出其C段资产,进行了批量目录扫描 查看…

0x01 前言

https://github.com/J0o1ey/BountyHunterInChina
欢迎大佬们点个star

0x02 资产收集到脆弱系统

在某src挖掘过程中,本人通过ssl证书对域名资产进行了收集,通过计算域名对应ip段的权重
整理出其C段资产,进行了批量目录扫描

查看目录扫描结果后,发现了一个有趣的文件

http://36...*/upload_image.php
image

对于这种页面,毫无疑问,要对参数进行FUZZ

0x03 FUZZ参数+表单上传

使用arjun工具对其参数进行fuzz,发现了一个参数字段为do

随后在burpsuite中对do的参数值进行fuzz
image

成功fuzz出一个do的参数值,upload
image

构造url
http://36...*/upload_image.php?do=upload,成功出现上传表单,
image

webshell名skr_anti.php

选择我们的webshell直接上传

上传后fuzz上传路径

http://36.*.*.*/upload  -------->  403
继续fuzz
http://36.*.*.*/upload/images  -------->  403
构造url
http://36.*.*.*/upload/images/skr_anti.php

image

赶上双倍活动,8000块钱到手

0x04 总结

我说这个漏洞有手就行,大家应该没意见吧
综合来说学习思路点如下:

1.遇到空白敏感页面/api,FUZZ参数和参数值

2.上传没返回路径不要慌,用聪明的大脑去FUZZ

3.SRC测试的时候不要上传webshell,传phpinfo就行,不然会被降赏金,我就是吃了哑巴亏。。。第一次遇着不让传webshell的

4.资产收集是红队还有渗透测试的核心

http://www.hrbkazy.com/news/24537.html

相关文章:

  • 有什么网站可以接设计做seo广告平台
  • 广州比较好的网站建设公司关键词竞价排名
  • 项城网站设计share群组链接分享
  • pc 响应式网站模板百度seo优化是什么
  • 公司网站建设费用记什么科目杭州seo公司
  • 潍坊建设厅网站百度手机app下载并安装
  • 微信公众号小程序怎么创建手机优化什么意思
  • 什么网站可以做告白的网页怎么建网站教程图解
  • 宝安营销型网站制作软文撰写
  • 郑州市中原区建设局网站常州seo招聘
  • 郑州外贸网站建设公司排名网站 seo
  • 做国内打不开的网站个人网页怎么做
  • 网站设计策划书月入百万的游戏代理
  • 人力资源公司起名大全武汉seo首页优化报价
  • 如何删除在凡科上做的网站百度一下全知道
  • 外贸公司的经营范围东莞seo整站优化火速
  • html 门户网站搜索引擎优化哪些方面
  • 做封面哪个网站好网站关键词收录查询
  • qq空间实名认证网站大连网站建设
  • 开发大型网站的最主流语言雅虎日本新闻
  • 中国企业信息公示系统广东百度seo
  • 刚创业 建网站附近电脑培训班位置
  • 平价网站建设西安百度推广优化托管
  • 进入外国网站的方法百度认证服务平台
  • 建设网站的网站阜阳seo
  • 乐清网站推广制作网络营销五个特点
  • 网站制作设计报价seo关键词选取工具
  • angularjs做网站案例武汉做网络推广的公司
  • 深圳网站建设方维沈阳cms模板建站
  • 网页设计html代码大全爱心网站seo内容优化