-
识别目标网站和用户资产网站的关联性:通过网络扫描工具或手动查找,确认它们是否使用相同的IP地址范围或者是否有其他关联性,比如共享相同的网络设备或服务。
-
分析用户资产网站的安全性:对用户资产网站进行漏洞扫描、Web应用安全性评估或渗透测试,寻找可能存在的安全漏洞或配置错误。
-
利用关联性进行攻击:如果在用户资产网站上发现了可利用的漏洞或弱点,尝试利用这些漏洞或弱点来攻击目标网站。这可能包括利用未经授权访问、注入攻击、跨站脚本(XSS)攻击等。
-
提高权限和获取敏感信息:一旦成功渗透目标网站,尝试提升权限以获取更高级别的访问权限,并查找可能的敏感信息,比如数据库凭证、用户数据等。
-
报告结果并提出建议:对渗透测试过程中发现的漏洞、攻击路径和成功渗透的结果进行详细报告,并提出改进建议,帮助目标网站加强安全防护措施。
通过利用用户资产网站和目标网站的关联性,我们可以更有效地发现和利用目标网站的安全漏洞,提高攻击成功的可能性。
0 x02 SQL注入漏洞发现
打开站点进行访问403服务器拒绝访问
通过插件查看站点为php类型
常规扫目录
前台
通过一键登录在新增地址处发现注入
0x03 进一步漏洞利用
此处提示需要get传参,在address.php请求处,随便填了个数字请求后,继续填写信息并抓包,开始sqlmap
经过长时间的等待,发现存在sql布尔盲注和报错注入
接下来找站点后台管理地址
利用注入得到的账号密码登入后台
0x04 任意文件上传
寻找上传点
上传
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!