3377体育网官网入口

新闻中心

实战|SRC挖掘思绪及要领

宣布时间：2022-08-29

浏览次数：5804

分享：

最近发明许多刚接触渗透方面的小伙伴都不知道实战挖掘误差的诀窍，，，，，，于是我妄想写一些自己挖误差的诀窍。。。。。

src推荐新手挖洞首选误差盒子，，，，，，由于误差盒子规模广，，，，，，海内的站点都收。。。。。相比于其他src平台，，，，，，挖掘岂非很适合新手。。。。。

误差挖掘，，，，，，信息网络很主要。。。。。

这里以部分实战睁开解说。。。。。

首先说一下谷歌语法吧 �。。。。。。。。。。�

如下可通过fofa、钟馗之眼、shodan等网络空间搜索引擎搜索Google镜像。。。。。

# SQL注入挖洞基本流通

1.找误差，，，，，，通过基本的site:、inurl:谷歌语法。。。。。

2.找到一个站点，，，，，，种种点点点，，，，，，找他的注入点。。。。。

3.找不到注入点，，，，，，信息网络。。。。。

4.然后就是一些列操作。。。。。

翻开Google镜像，，，，，，输入3377体育网官网入口谷歌语法site:.com 公司。。。。。

这样就会得出域名以.com为后缀相关的公司名称，，，，，，在后面加个公司的意义就是指定为公司名称筛选。。。。。

谷歌语法，，，，，，通过谷歌浏览器搜索：site:.com inurl:php?id=22 公司

这里加上了php?id=22，，，，，，由于咱们的注入点焦点在于传参，，，，，，以是搜索传参会越发容易找到误差。。。。。

下面我们找到一个网站举行测试。。。。。

首先我们输入单引号: ' ，，，，，，看页面爆发了转变。。。。。

这说明我们输入的单引号被执行，，，，，，爆发了报错。。。。。这里就极大可能保存SQL注入。。。。。

进一步使用，，，，，，and 1=1 && and 1=2,举行验证误差是否保存。。。。。

这里的and 1=1，，，，，，页面正常，，，，，，但在 and 1=2 的时间，，，，，，页面也是回显正常，，，，，，进一步验证。。。。。

我们继续使用SQL语句函数，，，，，，得出结论，，，，，，我们被网站防火墙阻挡了。。。。。

没绕过网站防火墙，，，，，，这里随便试了一下内联注释法，，，，，，执行乐成了。。。。。绕防火墙太繁琐，，，，，，我就做多操作了，，，，，，关于新手来说，，，，，，遇到防火墙可以直接退却了。。。。。

下面找到一个站，，，，，，输入单引号',页面异常，，，，，，我们找输入and 1=1 | 1=2，，，，，，发明1=2异常。。。。。

说明我们输入的函数被数据库执行，，，，，，保存SQL注入。。。。。

已经测试误差存，，，，，，接下来看能否验证误差。。。。。上SQL语句，，，，，，我们使用order by 11 | order by 12。。。。。

order by 11 页面正常，，，，，，而order by 12 页面异常（说明保存11个字段）。。。。。

然后我们运用SQL语句，，，，，，发明这里保存布尔盲注，，，，，，布尔盲注盘问数据繁琐，，，，，，这里直接丢SQLmap跑了。。。。。

sqlmap下令：Python sqlmap.py -u 目的URL --dbs（指定目的跑库名），，，，，，最后乐成得出库名。。。。。

挖洞就是这么的轻轻松松，，，，，，SQL注入照旧特殊多的，，，，，，遇到waf，，，，，，有想法的可以去实验绕过。。。。。

XSS误差

一样平常通过搜索到的站点看是否有留言板，，，，，，可以实验盲打XSS，，，，，，一样平常一个XSS为中危，，，，，，直接构建xss语句：<script>alert(1)</script>,见框直接插就行了，，，，，，弹窗就直接提交src平台就行了。。。。。

XSS一样平常留言板�。。。。。。。。。。�

弱口令误差挖掘

弱口令的谷歌语法：inurl:admin/login.php 公司。。。。。

这样就可以搜到许多公司的后台咯。。。。。

进入后台可以使用工具批量去爆破弱口令了，，，，，，如admin/111111等,还可以通过审查js代码审查是否有保存账号密码。。。。。

可以去使用或自己构建弱口令爆破工具，，，，，，这种工具特殊多，，，，，，就未几叙述了。。。。。

有的验证码就是安排的，，，，，，也有捉住包就不会转变的验证码。。。。。

这些都是挖掘src较量推荐的误差，，，，，，祝各人早日登上榜坐�。。。。。。。。。。�

————————————————

作者：一呼yyds

原文链接：https://blog.csdn.net/m0_65606241/article/details/124673704

要害词标签：: 3377体育网官网入口 SRC挖掘思绪及要领

上一篇党建共建深度融合，，，，，，保驾护航网络清静

下一篇职业教育刷新，，，，，，云盘算重点发力！

最新运动

公司声誉国家级声誉+1?3377体育网官网入口入选“国家知识产权树模企业建设工具”

2026-01-28

连忙审查

两会声音两会声音｜李雪莹代表：以场景开放促清静生长，，，，，，助力北京国际科创中心能级提升

2026-02-27

连忙审查

两会声音完善未来与战略工业人才政策，，，，，，李雪莹代表两会建言北京高水平人才高地建设

2026-01-27

连忙审查

推荐新闻

3377体育网官网入口防火墙一连25年连任海内市场第一

审查详情

智算一体机标杆企业！3377体育网官网入口入编《2025-2026年中国智算一体机行业研究报告》

审查详情

3377体育网官网入口一连12年获CNNVD一级手艺支持单位称呼

审查详情

3377体育网官网入口与华为正式开启周全合作，，，，，，团结宣布“智算+清静”两大新品！

审查详情

3377体育网官网入口一连五届入选CICSVD国家工业信息清静误差库手艺组成员单位

审查详情

3377体育网官网入口智算一体机首批通过工信领域能力认证！

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云服务支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静服务>

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注

【网站地图】【sitemap】