前言:
今天挖到漏洞了欸,合法授权噢,大家要去授权的站测试噢
正题:
挖了就是今天挖了挺久了,相当于很久,比这个月和上个月任何时间都久,之前是晚上就是挖就注意力集中,容易出洞,白天摸鱼,然后就是半个月就没出洞了,就记忆力不集中
去看报告了,看了只觉得好nb,看不懂
今天挖到漏洞的主要原因是
花时间了,而且动脑dai了,其实早点动脑袋也能挖到漏洞了
累了
记录一下今天挖掘漏洞的思路吧
首先我应该是挖了三天,之前挖了有五天吧,上个月也挖了
上个月挖了就是学习小迪的,哪个资产好挖,当然是asp,jsp这种资产就是非常好挖,学校有些老的还在用这些资产,就是挺好用的
然后上上个月就刷了20个rank,上个月用这种方法就是没找到了,好像就是没记录方法吧,找不到了,然后上个月尝试用上上个月的方法,没找到,然后上个月是用什么方法刷的,好像都是用asp这些刷的,刷的都是一些弱口令的,上个月也搞了10个rank,这个月也是用的弱口令,今天才交还不知道过不过,弱口令真的强,就是上个月,遇到的麻烦就是,弱口令刷不到,用了什么方法就是找到了一些偏的资产,继续刷弱口令,但是因为归属问题,很多没有过,有些域名就是企业的,不过也算正常,然后这个月发现就是打学校,但是打的学校好像就是官网,一打开,官网,静态网站,什么也没有
学校我有三不打
没有js不打
没有登录框不打
没有功能点不打
然后就是找资产,昨天就是发现就是打这些学校的其他资产也是一种好办法,但是今天没有尝试,睡觉了,今天用的另一种办法,直接找的资产,就是说要避免总是打学校官网,他也不可能就只有学校官网,只有学校官网,我就不打了