靶机测试过程以及思路

解题思路:

1 查看web界面站点信息(寻找有价值信息)

2 查看站点源码信息(html\css\js)

3 遍历目录,访问可访问站点(发现登陆界面)

4 解码站点有用信息(图片、文本)

5 登陆界面dirb中进行路径爆破

6 抓包、更改request分析登陆界面

7 寻找web服务器漏洞、站点漏洞、数据库漏洞等漏洞信息,如git泄露

8
sql注入、文件包含等方式先使用错误的参数进行页面报错判断(使用’或者"进行sql探测)

9使用一些固定的payload进行尝试,例如:and 1=2,and 1='1或者其他复杂的payload

解题过程:

1 相关要求解读

以上要求限制了我不能使用商业web扫描工具、nmap对主机的漏洞扫描以及使用dns劫持的方式去获取相关登录账号密码,但是最后一句话应该是提示信息。

2 使用web 方式访问靶机入口点

纪念第一次面试安服-靶机测试过程以及思路相关推荐

  1. 谨纪念第一次面试,电话面试,百度一面。。

    期中考试最后一科前收到一个电话说明天百度电话面试,当时有点激动,马上准备准备,多好的机会当然要好好把握..之后上了百度实习生招聘官网,发现自己投的简历'运维部_实习平台研发Java工程师'被挤到下面去 ...

  2. 纪念!作为程序员的第一次面试总结

    纪念!步入社会前的面试总结 纪念 2019/11/26 这是第一次试着写自己的博客,看到网上很多人在学习过程中写一些心得体会,网上很多大神也推荐写一些技术或者其他相关的博客非常有助于自己提升.学jav ...

  3. nmap地址段下的ip_安服福音——花式nmap扫描整理结果(文末重磅消息)

    0x01应用背景 安全服务的工作,日常扫扫扫.日常的工作一次性让人扫描多个网段,经验充足的老师傅会使用xml转excel,但是新入门的安服小伙伴们,是否也经历过一段手工一个个整理的时期呢,我是的.后来 ...

  4. 深信服安服类(安全服务/安全运营工程师)校招2023届面经

    文章目录 前言 岗位 面经 安全服务 安全运营 一面 二面 三面 结语 前言 近期秋招也即将结束,经过几个offer的对比,最终选择了深信服.以下我会以聊天的形式分享一些安服类岗位的面经,有想要进一步 ...

  5. 就业大山之下的网络安全:安逸的安服仔

    从去年开始,各个互联网大厂就接二连三的放出了裁员消息,整个互联网行业好像都处于寒冬状态.微博.小米.滴滴.知乎.拼多多等在内的一大批互联网知名企业,也相继传出"人员优化"的消息. ...

  6. 干货|安服工程师技能手册详细总结

    目录 (一)基础网络必备技能 (二)常见工具的使用 (三)渗透测试技能 (四)漏扫技能(报告,修复,独立支撑能力) (五)应急响应 (六)安全加固 (七)对于安全产品的理解 (八)CTF.靶机学习,漏 ...

  7. 记录某一天安服仔的漏洞挖掘过程

    前言 作为一个拿着几 K 工资的安服仔,某一天上级给了一个网站需要挖挖洞.客户不愿意提供测试账号,通过其他位置拿到账号规则,然后进行爆破的时候把账号都锁了,因此还被投诉了.记录一下一天的漏洞挖掘过程, ...

  8. 跨业自学党的第一次面试

    背景 我是一名二本师范院校的2018届风景园林毕业生. 在大四经过一次景观公司的实习之后,发现园林救不了中国(致敬鲁迅),也不符合自己的内心,毅然决然走上了脱产自学 Web 前端的道路. 听说&quo ...

  9. 网易互娱AI研究工程师实习生一面——记人生的第一次面试

    2020.4.15,这是我人生中的第一次面试,虽然结果不那么好,但也反映出我存在的各种各样致命问题. 我的研究方向是强化学习,确切来说是强化学习在路由方面的应用.由于个人原因,基本都是凭借着兴趣在自学 ...

  10. 前端社招第一次面试问到的题【面试通过5k】

    前端社招第一次面试问到的题[面试通过,工资5k] 1.px跟em的区别? 答:px就是一个绝对像素单位,是固定值,而em是相对单位值,如果自身定义了font-size,则em会根据font-sizef ...

最新文章

  1. 【OpenStack】OpenStack系列6之Sheepdog环境搭建
  2. xfs文件系统下扩展lvm卷组
  3. 三步搞定 opencv 初始环境设定
  4. html5 video css样式修改,htmlvideo标签用法
  5. java 反射 性能_java高性能反射及性能对比
  6. 写游戏软件要学什么_为什么要写关于您所知道的(或所学到的)的内容
  7. LeetCode 1748. 唯一元素的和
  8. JavaScript设计模式-工厂方法模式
  9. JavaScript事件---事件入门
  10. Confluence 6 针对合并完全失败的内容重新运行合并
  11. maven不引入parent_Maven从入门到放弃
  12. Image Tampering Detection via Semantic Segmentation Network
  13. mysql排列组合实现_排列组合的实现
  14. 数据库常用日期统计查询
  15. 《图解TCP/IP》——第一章 网络通讯基础
  16. 在IPCAM上实现RTSP协议直播-live555
  17. 云脉文档管理系统高效管理海量纸质文档
  18. 齐岳提供的双核金属铱配合物黏度探针C10((df-ppy)2Ir(bpy)(CH2)10(bpy)Ir(btph)22+)-
  19. SAP MM ME57 把PR转成PO
  20. 奥比中光Orbbec Astra Pro RGBD 3D视觉传感器 之 前言

热门文章

  1. 数据可视化技术有什么特点
  2. Linux权限中x是什么意思,linux里的drwxr-xr-x代表的意思
  3. Docker桥存储卷管理
  4. 机器学习实战中的心得体会
  5. 【论文笔记--FORCE】Progressive Skeletonization: Trimming more fat from a networkat initialization
  6. 百度找不到服务器是怎么回事,百度搜索不能用了
  7. 报错Check constraint “book_chk_1“ is violated。难道MySQL中insert 语句只能一条一条插入?
  8. Java Web 开发后续(四)
  9. 黑马程序员——Java基础--IO(一)
  10. python爬虫基础及实例---代码经过实测