主页 / 乌云沙龙第三期(2015) / 赛棍的自我修养+搅屎的乐趣
-
作者redrain@360
-
简介
摘要:知己知彼百战不殆,对于web渗透感兴趣的小伙伴走过路过千万别错过噢。感谢redrain大牛分享的渗透流程。先简单的信息收集,http报文,域名whois一些敏感文件路径等等,或者子域名,同服C段来找到入口,或者可以借助扫描器,如w3af、nmap之类神器,找到漏洞后直捣黄龙,祭出杀器sqlmap,havij。一洞不行再换一洞,也可以尝试从xss下手配合其他攻击手法来getshell。 也可以试试找其他漏洞,比如常见的命令执行,文件包含等等。实在不行,就用最简单粗暴的方法,通过字典来爆破帐号密码。最后就需要提升权限,就需要之前踩点的信息了,通过对数据库版本,系统版本,网站应用信息的了解来利用相应的EXP提权。忘记是哪位智者说过,攻击是最好的防守,一名真正的黑客是不会墨守陈规的,当然redrain也不会例外,除了完成CTF的比赛题目,偶尔也会捣捣乱搞点小破坏,不愧为专业赛(搅屎)棍.........
议题
- 0x00 CTF概览
- 0x01 相关渗透测试技术
- 0x02 CTF和实际场景的区别
- 0x03 我是如何在CTF中充当搅屎棍的
附件包含 - XDCTF思路分享
-
援引http://zone.wooyun.org/content/17996
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2016-04-17 08:34:39 -
2016-06-19 08:06:57 -
2021-01-05 13:45:39.787083 -
2017-09-04 10:46:14
