本文介绍了在教育行业的SRC平台中批量自动化测试漏洞的方法。涉及利用cnvd漏洞平台、盒子、补天等资源,针对闭源系统进行前端漏洞测试。通过getshell获取源码,使用awvs工具,dnspy进行源码还原,以及js接口模拟测试。同时,提到了利用开源PHP代码搭建环境,批量测试Python脚本,以及seay审计工具的应用。
src挖掘-教育行业平台,规则,批量自动化
1.平台:
cnvd漏洞平台,盒子,补天
2.教育平台src-批量
用最新漏洞去测试
3.只收前端打入的漏洞平台-针对闭源系统
先getshell,再进行白盒测试
得到源码后:
寻找web.config,看配置文件或源码,找asmx结尾的文件
asmx是web服务文件。属于b/s形式,用soap方式http访问,用xml返回
有asmx丢到awvs里
js也可以爆破
拿下cnvd证书-src
1.下载网上开源PHP代码,搭建后发现漏洞如弱口令->进行批量测试Python
2.seay审计
admin目录下的漏洞需要权限才能利用,可以先不看
3.工具dnspy
可以把网站源码封装于.dll文件中的还原为源码。
.jar -> intellij
.dll -> dnspy
.net -> idea
4.无源码情况下,js接口数据提交测试模拟
-jsfinder工具,手工,扫描
getjs 工具
扫一扫
1311
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
