文章来源:https://blog.csdn.net/weixin_44578334/article/details/110839211? spm=1001.2101.3001.6650.12&utm_medium=distribute.pc_relevant.none-taskblog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-12-110839211-blog127238558.pc_relevant_3mothn_strategy_and_data_recovery&depth_1- utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault% 7EBlogCommendFromBaidu%7ERate-12-110839211-blog-127238558. pc_relevant_3mothn_strategy_and_data_recovery&utm_relevant_index=13
感悟: 1、使用fofa进行对应ip的c段扫描
2、子域名挖掘机的使用
3、通过测试发现本网页的表单验证码不具备刷新能力,可以对账密尝试爆破,当然爆破成功的概率很低,不建议使用此 方法,但是尝试弱口令还是可以的
4、dirsearch-poc扫描网站目录发现未授权的网页,当然这是在目录字典足够大的情况下