记一次src挖洞实战——逻辑漏洞

最新推荐文章于 2024-05-22 11:21:12 发布
最新推荐文章于 2024-05-22 11:21:12 发布
阅读量5.9k 收藏 103
点赞数 10
文章标签: 网络 服务器 运维 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wulanlin/article/details/122379169
版权

前言

在学习了大量web逻辑漏洞的知识后,想进行实战。练练手。作为小菜鸡的我,这是我第二次进行实战挖洞,可能会存在许多问题。望各位大师傅多多指点。

闲话少说,直接开整

实战

1.信息收集

首先,在src中找了一个网站应用,获得其域名地址为  “****.****.com”。

接下来就是一些常规操作(信息收集)啦。。。

1. 域名反查IP

我使用的是“超级ping”网站,不仅可以查看域名对应的IP地址,还可以查看其网址是否使用CDN技术,至于CDN技术是什么,我就不多说啦。

可以查到该网站的ip,并且可以发现从全国各地发起的ping命令,对应域名的DNS解析地址均相同,故可判断该网站没有使用CDN技术,这样就好办了,不用为找网站真实服务器IP而发愁了。

2. 子域名查看

对该网站的二级域名 "***.com" 进行下一级域

最低0.47元/天 解锁文章
wulanlin
关注
  • 10
    点赞
  • 103
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
一次实战逻辑漏洞
weixin_44750308的博客
03-02 676
一次实战逻辑漏洞
SRC漏洞实战经验总结
10-28
随着技术的发展,新的攻击手段和防御策略不断涌现,因此,保持对最新安全动态的关注,参加实战演练,不断提升自身技能,是成为一名优秀SRC漏洞掘者的必要条件。 总结,SRC漏洞掘是一个涉及广泛知识领域的实践性...
2023最新SRC漏洞掘快速上手攻略!
2301_77732591的博客
06-07 3603
随着网络安全的快速发展,黑客攻击的手段也越来越多样化,因此SRC漏洞掘作为一种新的网络安全技术,也在不断发展和完善。那么,作为一个网安小白如果想要入门SRC漏洞掘,需要掌握哪些知识呢?以下是本人通过多年从事网络安全工作的经验,综合网络上已有的资料,总结得出的指导SRC漏洞掘入门的详细介绍。1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞掘、漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。
SRC漏洞掘思路手法(非常详细),零基础入门到精通,收藏这一篇就够了
youmaob的博客
02-28 2354
这段时间掘了挺多的SRC漏洞,虽然都是一些水,也没有一些高级的漏洞掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞掘的思路技巧。
【精选】SRC快速入门+上分小秘籍+实战指南
最新发布
2301_80127209的博客
05-22 628
这时候就是要靠我们万能的 fofa 了,首先我们要知道有哪些 cms 有漏洞
SRC漏洞掘经验+技巧篇
Innocence_0的博客
09-15 985
在HP Data protecetor Media Operations 的客户端连接服务端时,通过私访有的通信协议,客户端会首先检查[系统分区]:\Documents and Settings[用户名]\Application Data 下面是否有相应的资源(如插件等),如果没有,则会向服务器请求需要的文件,服务器没有验证请求的文件名的合法性,而且这个过程不需要任何验证,攻击者精心构造文件名,可以读取服务端安装目录所在分区的任意文件。最古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏;
SRC上分秘诀+实战掘+技巧+新手上路+详细讲解
2301_80115097的博客
05-09 909
这个地方确实存在SQL注入 但是莫名奇妙的报错 试试盲注网站有装安全狗 试试bypass输入了敏感字符从而被封ip 重启路由器没漏洞不要紧 在URL后面加一个amdin 说不定进了后台管理 又有可以测试的地方了。
国内SRC漏洞掘经验和技巧分享.pdf
09-10
"SRC漏洞掘经验和技巧分享" 本文档主要分享了SRC漏洞掘的经验和技巧,涵盖了SRC个人推荐、SRC的规则、漏洞掘中的个人经验和技巧分享等方面。 一、SRC个人推荐 SRC个人推荐排名不分先后,只为排版好看白帽子...
趣谈SRC逻辑漏洞掘.pptx
05-10
趣谈SRC逻辑漏洞掘.pptx
国内SRC漏洞掘技巧与经验分享
01-29
总结来说,国内SRC漏洞掘需要结合技术分析与经验积累,通过多方面信息收集、深度漏洞分析、代码审计、Web应用漏洞掘、安全配置检查、社会工程学以及持续学习,才能在这一领域取得显著成效。希望这份经验分享能对...
我是如何SRC漏洞的.pdf
07-20
关于各大SRC漏洞掘经验分享,很多思路总有一款适合你。介绍了SRC流程测试的最基本的步骤,也有一些操作分享
edusrc-web:edusrc用户主页数据分析与查询
03-15
edusrc网站 edusrc用户主页在线数据分析与查询
逻辑漏洞掘(个人经验总结)
Azjj
05-04 6781
因为最近接触的逻辑漏洞挺多的,所以想把自己的个人经验总结一下。因为逻辑漏洞是那些扫描器扫不出来的,所以起来会比较轻松,像那些注入基本都被空了
-(实战越权案列)
weixin_52501704的博客
03-03 275
-(实战越权案列)
一次SRC实战-信息泄露
YINGXXX123的博客
01-23 1070
SRC实战信息泄露。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括:有关其他用户的数据,例如用户名或财务信息敏感的商业或商业数据有关网站及其基础架构的技术细节泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他有趣的漏洞。有时,敏感信息可能会不慎泄露给仅以正常方式浏览网站的用户。但是,更常见的是,攻击者需要通过以意外或恶意的方式与网站进行交互来引发信息泄露。
【网络安全】一场完整实战SRC漏洞掘(超详细)全过程
程序员若风的博客
05-06 2167
一场完整实战SRC漏洞掘全过程
一次教育src
weixin_43658354的博客
06-03 3750
一次教育srcfofa搜索了一下,找到一个有sql注入的教育网站漏洞url:http://x.x.x.x:8090/login功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 fofa搜索了一下,找到一个有sql注入的教育网站
一次edusrc漏洞
Cobra的博客
03-01 5359
在fofa上闲逛的时候发现这个系统,其实之前也碰到过这个系统,当时可能觉得没什么漏洞点就没有管,正好闲着没事又碰到了这个系统,然后就拿过来简单的测试了一下! 二、漏洞掘 1、信息收集 由于我是在fofa上发现的这个系统,所以也谈不上什么信息收集,我就直接贴了fofa搜索语法 app="校园地图服务系统" 2、漏洞掘 (1)主页就是一个简单的地图界面 (2)使用dirsearch浅扫一下目录吧,结果还真扫出点东西 (3)/actuator/env这不是spring...
一次中职全国大赛某管理平台的逻辑漏洞
cike_y
03-14 461
一次日常空闲的,虽然这次实战总结的比较基础,但是也收获了很多经验。多实战多总结技巧,一定会有所进步的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值