记录日常测试(一)
请勿使用本文档提供的相关工具开展任何违法犯罪活动。本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!!
晚上睡不着,还是继续测试
信息收集
看到这样一个站,第一步还是照常,测试指纹,扫描路径,查看源代码,找寻一些信息
可惜找了一遍,一点有用的信息也没有,想试试爆后台路径都没有
这时候,点点页面的功能吧,看一看,发现了这样一个东西
这必然要点过去看一看,来到了子站的物流查询功能
正好老一套,信息收集走一走,看看我发现了什么
之后又发现一个报错页面,thinkphp的特征,忘记截图了
漏洞发现
这样扫描器来一下吧
好好好,发现RCE漏洞,在进一步测试
好家伙,发现你小子是误报,拿老爹我寻开心
新发现
测试,没发现历史漏洞,也可能我用的是骨灰级扫描器吧
再在功能上点一点,看一看
有个查询功能,抓个包试一下吧
正常查询没数据
来个单引号试一下吧,有发现,怎么报错信息出来了,是不是有sql注入呢
确实有
之后,又发现了,config文件,而且记录了账号密码,但是,想去试试发现oa平台关了,只能不了了之