更多视频教程可看主页和专栏 

目录:

 一、资产发现

二、通用漏洞挖掘

三、通用漏洞经验总结

一、资产发现

通过漏洞挖掘过程中发现该系统存在sql注入

1.二话不说先来个单引号显示 ‘011111111111111’’) )

再来一个单号试一试可不可以把他闭合掉

换成报错注入的poc

发现右边的括号被转义掉了

img

在后面加上and试一试

成功报错回显出库名

img

二、通用漏洞挖掘

发现技术支持的供应商公司

img

1.通过公司名字查询系统名称，通过系统名称查询到图标信息，通过图标的icon信息去查询资产，通过鹰图查看到好多资产，通用漏洞拿下

img

img

三、通用漏洞经验总结

找到开放供应商，去站长之家查询开发的系统，系统图标信息查询存在的资产

 更多视频教程可看主页和专栏

 申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关