web渗透测试
by Krypt0n
渗透测试思路
- 0x01.获取目标站点域名,根据域名获取网站IP地址,根据域名反查该ip或域名下其他站点。
- 0x02.进入目标页面,找到带参数的页面,初步进行手工测试是否存在sql注入。
- 0x03.如果存在注入,上工具检测,如啊D注入工具,穿山甲等;进行暴表爆字段。
- 0x04.利用站点扫描工具,找到网站后台登陆地址,也可结合经验进行手工测试。
- 0x05.如果可以找到后台,用第3步爆破的管理帐户和密码登录之,寻找上传点和可以利用的地方,上传一句话木马或者一句话图片木马,如果不行,可根据目标数据库和后端架构漏洞构造合适的上传方法。
- 0x06.利用菜刀等工具连接木马站点,然后上传大马WEBSHELL。
- 0x07.登录webshell,根据具体站点情况进行提权操作,继而拿下目标站点的服务器。