本文讲述了作者进行渗透测试的过程,包括对银行招聘网站的测试、尝试破解加密、探索登录逻辑、小程序渗透挑战以及使用Vulhub漏洞远程调试Weblogic和Tomcat的经历。
今天啥也不想说了,ctf里面还有道题目还没做,这里就不写了,把日报奉上,懂得都懂:
2.2日总结:
- 早上对xx银行的招聘网站做了渗透测试,对招聘网点赞处做重放看是否会多次点赞,对收藏处考虑了水平越权的尝试,用两个账号尝试收藏某个职位,修改了其中的userid为对方的,但是并没有成功,反倒是修改了channelId,修改了页面排版的位置;又再修改密码处尝试任意密码修改,但是请求包里的电话号码被特殊的算法加密了,本来打算用另一个号码也用请求之后加密的替换,结果,加密算法导致请求包中的号码每次均不一样,遂放弃,又尝试了登录处忘记密码,登录,注册处是否有逻辑绕过;
- 把PM发给我的年度xxxx清单分别整理成4个季度的文件,对照在线文档将每个季度文件的内容填补完全;
- 尝试小程序渗透,但是我的环境导致我的每个请求都非常慢,加上ip封的很快,从刚开始用proxifier代理到后面直接使用模拟器里面的微信小程序都非常慢,在环境上面花了很长时间,这一块效率有点低;
- 用Vulhub中的 CVE-2017-10271 和 CVE-2017-12615 漏洞环境使用 IntelliJ IDEA配合 Docker 对Weblogic和Tomcat中间件进行远程调试,我的环境搭建还挺顺利的,可以像调试本地程序一样调试 Docker 中的应用。
265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
