从品牌网站建设到网络营销策划,从策略到执行的一站式服务
从今天开始,打算将自己的挖洞历程一点一滴给记录下来,从17年开始接触web***,学完了cracer17年的教程,看过网易公开课,目前在安全牛课堂学习kali***测试。心里其实很感慨,学了很多,感觉会得太少,到现在挖洞经验仍然为0 (想哭)T_T!
成都创新互联公司是一家专业提供景德镇企业网站建设,专注与网站设计、成都做网站、H5页面制作、小程序制作等业务。10年已为景德镇众多企业、政府机构等服务。创新互联专业网站设计公司优惠进行中。
偶尔会很迷茫,自己到底学了了什么呢,学而不会有何用!!!
这是一个新的开始,以练代学,由浅入深,特以此系列献给和我曾经一样犯过迷茫的孩子。
闲话不说,进入正题吧,这些文章我会定期完善和补充,希望大家伙可以多多交流。
第一站,让我们来研究一下struts2漏洞吧,在这里我先讲漏洞的利用,分享一下小工具,最后逐步补充漏洞的原理吧,大家原谅一下小白的能力有限,嘻嘻^_^
1、信息收集: 关键字:
inurl:.action?
inurl:.action?id
inurl:.action?mid
inurl:.action?参数名
inurl:index.action
inurl:login.action
2、工具篇:url爬取搭配struct2工具
url采集:https://pan.baidu.com/s/1BEKGHck1XDQrO0zLeLwe4Q
解压密码3ne6
struts利用:https://pan.baidu.com/s/1SQ-NW9rtzm7sRfIC9_0YrQ
解压密码5emo
3、举个栗子
到这里相信各位小伙伴已经看到了url采集的精确度太差了,好吧换一个,以后咱自己写,呜呜
嗯还蛮准的,下一步开始验证吧
很多兄弟会说这么多url一个个手动试吗,我的回答当然是不,小弟正在自学python,以后写出工具与君共享。好吧,暂时就这样了,第一篇草草收场!
转载自本人csdn博客https://mp.csdn.net/postedit/79841604
咨询相关问题或预约面谈,可以通过以下方式与我们联系
成都网站建设公司地址:成都市青羊区太升南路288号锦天国际A座10层 建设咨询400-028-6601
成都快上网科技有限公司-四川网站建设设计公司 | 蜀ICP备19037934号 Copyright 2020,ALL Rights Reserved cdkjz.cn | 成都网站建设 | © Copyright 2020版权所有.
专家团队为您提供成都网站建设,成都网站设计,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网! | 成都网站建设哪家好? | 网站建设地图