【漏洞发现】---API接口服务之漏洞探针类型利用修复---day45

darkerg

【漏洞发现】---API接口服务之漏洞探针类型利用修复---day45

一、思维导图

服务协议

二、测试思路

image-20210515173832840

image-20210515174446751

1、Web服务类

image-20210515174523123

image-20210515174557418

2、数据库类

image-20210515174618014

3、大数据类

image-20210515174634772

4、文件共享

image-20210515174700481

5、远程访问

image-20210515174720793

6、邮件服务

image-20210515174801872

7、其他服务

image-20210515174817425

三、演示案例

image-20210515174948153

1、域名信息收集

image-20210515180426777

收集测试目标

域名访问和IP访问,目录可能会不同:

image-20210515180621103

收集时候不仅要扫描域名下的目录,还得扫描ip地址下的。

image-20210515181029519

2、Goby端口扫描

image-20210515181615323

也可以用Nmap。

3、超级弱口令检测工具

下载地址:

https://github.com/shack2/SNETCracker/releases
https://www.uedbox.com/post/57215/

界面:

image-20210515182342454

前提是要支持外链,如果对方数据库是在内网,那就不行了。

四、网络服务

image-20210515182830030

WDSL语言

image-20210515183154153

①API接口测试

xz.aliyun.com/t/2412

AWVS扫描

image-20210515184020703

扫描出来的结果又SQL注入漏洞

image-20210515184301565

把数据包复制一下,在sqlmap安装目录,新建一个文档

image-20210515184337813

将数据包复制进去。

但是注意要把测试语句给删掉。

image-20210515184409930

image-20210515184456919

sqlmap

image-20210515184532843

--batch就是遇到yes or no的时候全部yes

image-20210515184646319

列出表单

image-20210515184706245

image-20210515184717992

分类:

技术点:

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode