【漏洞发现】---API接口服务之漏洞探针类型利用修复---day45

【漏洞发现】---API接口服务之漏洞探针类型利用修复---day45

一、思维导图

服务协议

二、测试思路

image-20210515173832840

image-20210515174446751

1、Web服务类

image-20210515174523123

image-20210515174557418

2、数据库类

image-20210515174618014

3、大数据类

image-20210515174634772

4、文件共享

image-20210515174700481

5、远程访问

image-20210515174720793

6、邮件服务

image-20210515174801872

7、其他服务

image-20210515174817425

三、演示案例

image-20210515174948153

1、域名信息收集

image-20210515180426777

收集测试目标

域名访问和IP访问,目录可能会不同:

image-20210515180621103

收集时候不仅要扫描域名下的目录,还得扫描ip地址下的。

image-20210515181029519

2、Goby端口扫描

image-20210515181615323

也可以用Nmap。

3、超级弱口令检测工具

下载地址:

https://github.com/shack2/SNETCracker/releases
https://www.uedbox.com/post/57215/

界面:

image-20210515182342454

前提是要支持外链,如果对方数据库是在内网,那就不行了。

四、网络服务

image-20210515182830030

WDSL语言

image-20210515183154153

①API接口测试

xz.aliyun.com/t/2412

AWVS扫描

image-20210515184020703

扫描出来的结果又SQL注入漏洞

image-20210515184301565

把数据包复制一下,在sqlmap安装目录,新建一个文档

image-20210515184337813

将数据包复制进去。

但是注意要把测试语句给删掉。

image-20210515184409930

image-20210515184456919

sqlmap

image-20210515184532843

--batch就是遇到yes or no的时候全部yes

image-20210515184646319

列出表单

image-20210515184706245

image-20210515184717992

posted @ 2021-05-17 21:11  DarkerG  阅读(216)  评论(0)    收藏  举报