记对某系统的一次测试

文章来源：先知社区（小白白兔）原文地址：https://xz.aliyun.com/t/114510x01 前言第一次写文章，有不足的地方请各位师傅指正0x02 确定站点首先通过前期的信息收集得到了站点目标目标站点长这样，还是熟悉的登录框，此时我的思路是，爆破管理员的用户名和密码，但这里登录的方式很明显是通过手机号来登录的，也就是说还得知道管理员的手机号码才能进行爆破，难度有点大，先放弃这种方法。常规的话如果知道了管理员的用户名，还能去测一下找回密码处，是否有逻辑漏洞，因为本人信息收集能力不信，收集不到管理员的手机号码，所以爆破和找回密码这个点先放弃。0x03 开始测试上述的两个点都没法测试，此时我就可以试试目录扫描，利用目录扫描工具，看看是否有备份的源码，或者一些未授权的目录扫描一波过后也并没有发现可利用的点，然 ………………………………