SRC漏洞挖掘技巧零基础教学,手把手带你实战挖洞,轻松月入五位数不是梦

已于 2024-01-06 21:20:36 修改
阅读量1k 收藏 12
点赞数
文章标签: web安全 安全 网络攻击模型 网络安全 ddos 安全威胁分析 计算机网络
于 2023-07-06 14:14:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jennycisp/article/details/131575393
版权

适合新手小白的挖洞教程

**挖洞八步骤分别是 明确目标–****信息收集–****漏洞扫描—****验证漏洞—****分析信息—****渗透攻击—****整理信息—**编写测试报告

今天给大家介绍详细介绍明确目标已经信息收集 配合实战演练 附带教程,安装包
【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

  • 明确目标

明确是在哪种系统进行渗透,今天选择windows系统进行渗透,而明确目标的意思就是明确测试的需求,判断测试是针对哪方面漏洞,是针对支付漏洞,还是逻辑漏洞,还是管理员权限漏洞,其次就是渗透范文,如IP段,域名、整站渗透或者部分模块渗透,最后确定渗透规则,而在这个阶段主要就是测试人员针对测试项目有明确的测试方向,也是为了更好的制定测试计划

  • 信息收集

1.信息收集也是重中之重,信息收集的结果直接决定了你后面渗透的结果。

1.子域名挖掘机,通过扫描收集子域名信息,文末下载

在这里插入图片描述

2.站长之家查询注册域名信息 chaiaz.com

在这里插入图片描述

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述

3.通过google语法进行搜集

1. info(基本信息)

2.Site(指定域名)

在这里插入图片描述

  1. inurl URL存在关键字的网页 利用改语法搜索所有搜索内容都有关键字

在这里插入图片描述

4.filetype 搜索指定文件类型

5.intitle标题中存在关键字的网页 可以进行查找后台登录页面

inurl:file #查找url上含file的网址寻找上传漏洞​

inurl:php?id= intitle:关键词 精确搜索

在这里插入图片描述

微信关注天银安全文章xia’m获取学习视频

查找后台

site:http://xx.com intext:管理

site:http://xx.com inurl:login

site:http://xx.com intitle:后台

查看服务器使用的程序

site:http://xx.com filetype:asp

site:http://xx.com filetype:php

site:http://xx.com filetype:jsp

site:http://xx.com filetype:aspx

查看上传漏洞

site:http://xx.com inurl:file

site:http://xx.com inurl:load

查找注射点

site:http://xx.com filetype:asp

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取视频教程】

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。【点击领取工具包】

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

img

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往免费获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

在这里插入图片描述

网络安全技术库
关注
SRC挖掘思路及方法
m0_65606241的博客
05-11 1万+
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。
SRC上分秘诀+实战挖掘+挖洞技巧+新手上路+详细讲解
2301_80115097的博客
05-09 997
这个地方确实存在SQL注入 但是莫名奇妙的报错 试试盲注网站有装安全狗 试试bypass输入了敏感字符从而被封ip 重启路由器没挖到漏洞不要紧 在URL后面加一个amdin 说不定进了后台管理 又有可以测试的地方了。
SRC逻辑漏洞挖掘详解以及思路和技巧(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
07-17 1068
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等,下图是简单的逻辑漏洞总结,在挖掘的过程中更多的时候需要脑洞大开:挖掘逻辑漏洞的过程中,需要一些技巧和非常规思路,有点像边缘测试的思想。确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题0X01 逻辑漏洞分类。
漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-19 814
而且我自己在正常漏洞挖掘过程中,专注状态下,并不对单一站点或一两个漏洞去写,因为觉得没有什么成就感,而是通过完整的渗透测试流程,对企业进行域名,端口,备案,APP,小程序,公众号等进行信息收集,收集信息越多,拿到漏洞概率越大,漏洞数量越多,我这里画了一个思维导图,仅供各位师傅参考。企业开放的百分之70-80的业务网站均使用了shiro框架,在测试过程中,尤其登录的时候,很明显,当然了,特征可以隐藏或更改key,在曾经挖过的很多漏洞里,遇到的shiro也不少,但是基本上都是有key无链。
SRC漏洞挖掘经验+技巧
Innocence_0的博客
09-15 1079
在HP Data protecetor Media Operations 的客户端连接服务端时,通过私访有的通信协议,客户端会首先检查[系统分区]:\Documents and Settings[用户名]\Application Data 下面是否有相应的资源(如插件等),如果没有,则会向服务器请求需要的文件,服务器没有验证请求的文件名的合法性,而且这个过程不需要任何验证,攻击者精心构造文件名,可以读取服务端安装目录所在分区的任意文件。最古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏;
SRC漏洞挖掘思路手法(非常详细),零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
01-31 5608
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。很多人可能都挖过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己挖不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有一定的技术能力。很多都感觉自己挖那种大厂的漏洞都挖不倒,挖上一两个小时或者半个小时就不挖了,没什么进展,往往这种想法是错误的,其实对于一些src漏洞挖掘和别的站点漏洞挖掘都大差不大,但是为什么都感觉自己挖不
手把手实战微信小程序直播项目开发视频教程.txt
03-12
手把手实战微信小程序直播项目开发视频教程
手把手你学51单片机零基础
03-29
《2024年手把手你学51单片机零基础详解》是一篇面向初学者的全面指南,以幽默故事的形式介绍了51单片机的基础知识。文章从单片机的基本构成、工作原理讲起,逐步引导读者学习51单片机的编程语言(C语言),并通过...
从基础到实战手把手你掌握新版webpack4系列课程.txt
03-26
从基础到实战手把手你掌握新版webpack4系列课程.txt
222-手把手你写一个MiniSpring
05-06
"222-手把手你写一个MiniSpring"这个主题,旨在通过实践教学的方式,让你了解并掌握Spring框架的基本原理,从而能够自己动手实现一个简化版的Spring框架——MiniSpring。 【描述】"222-手把手你写一个Mini...
从基础到实战 手把手你掌握新版Webpack
09-23
从基础到实战 手把手你掌握新版Webpack Webpack 目前无论在求职还是工作中,使用越来越普及。而想要学懂,学会Webpack更绝非易事。本课程完整讲清最新版本下的 Webpack知识体系,通过 基础 + 实例 + 原理代码编写 ...
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
挖掘src之路
04-24
网络漏洞挖掘 挖掘src之路
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
从零开始学习软件漏洞挖掘系列教程第七篇:实战挖掘Mini-stream Ripper缓冲
04-22
软件漏洞挖掘系列教程第七篇:实战挖掘Mini-stream Ripper缓冲
[漏洞实战] 逻辑漏洞挖掘
weixin_43586169的博客
07-21 1238
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,被统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、未授权访问、关键步骤绕过等,下面是笔者对常见的逻辑漏洞进行了一些总结。......
"手把手教你HTML教程有多彩案例!
总结起来,本教程提供了一个全面而详细的HTML教学,通过手把手教学方式、配备丰富的例子教程和多彩多字的案例,使你能够轻松掌握HTML的基本概念和技巧。同时,本教程也为你提供了学习HTML的基础,为进一步学习前端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全技术库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值