JNTM
JNTM

性别: 注册于 2023-02-26

新人一个

向TA求助
56金币数
61 经验值
0个粉丝
主页被访问 5299 次

7 个回答

0 赞同

师傅在提交时不会进行限制后缀名但是提交之后如果是图片访问就是...

可以放图片马 然后文件包含 这类在靶机上挺常见的的

回答于 2023-04-09 16:27

0 赞同

免费的网络空间测绘工具都有哪些

google hack 也不错,炸子域名或者后台爆破很好用

回答于 2023-04-09 16:23

0 赞同

找flag

可以尝试sql报错注入,或者安装个hackbarV2插件测试XXE XSS SQL之类的

回答于 2023-04-01 12:35

0 赞同

在渗透过程中,收集目标站注册人邮箱有用吗?要怎么利用才能发挥...

拿到邮箱可以用邮箱账户的机器作为跳板得到个人的用户(绝大多数人的密码应该都是存在浏览器里的),拿到个人用户后能干的事就多了去了。

回答于 2023-04-01 12:31

0 赞同

知道诈骗网站的后台管理地址及移动端网页地址,如何破解诈骗集团...

跑一遍字典,没有的话试试万能密码,再或者尝试爆破user、password的字段看看是不是像CSDN一样明文存储偷个cookie试试burp改权限,再或者尝试文件上传拿shell也算是变相进后台再然后就是内网域控,拿下域管内网主机都能进这都不行的话代码审计,要是还不行估计只能上社工

回答于 2023-04-01 12:27

0 赞同

大佬们,搞渗透的想换电脑了,给推荐推荐

推荐PC加商务本 开远程桌面或者远程命令行,笔记本的可维护性不如PC

回答于 2023-03-18 14:47

0 赞同

怎样保证去客户现场渗透测试尽量做到全面,还有师傅们做渗透都是...

推荐先进行域名搜索,像FOFA之类的,然后用host,dig之类的工具挖掘IP和服务器信息,然后使用nmap之类的进行扫描,但尽可能伪造ip,关闭ping之类的减少防火墙过滤概率,一个过不了试试组合或者换参数,之后进行常见漏洞探测,比如SQL,XSS,CSFR之类的,之后就是尝试入侵服务器拿到shell或者社工,大的扫描工具比如nessusd推...

回答于 2023-03-17 18:08