如何挖到自己的第一个漏洞

最新推荐文章于 2025-12-06 19:00:36 发布
原创 最新推荐文章于 2025-12-06 19:00:36 发布 · 990 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #web安全 #linux #运维

许多入门安全的同学都想挖到自己的第一个漏洞,那么刚入门的师傅们如何挖到自己的第一个漏洞呢?

开局一个登陆框

相信这是许多挖洞师傅碰到的第一个功能点

那么碰到了登陆框 怎么玩?

直接把账号密码写在登陆框

这种虽然看起来很是傻x,但是在edu挖掘过程中确实是真实存在的,就

把账号密码给你,就怕你进不来后台

不多bibi 直接上图

图片

界面上把账号密码写的清清楚楚,什么,你说你找不到教工号,谷歌语法啊 什么,你说你找不到身份证后六位,谷歌语法啊,谷歌语法不行直接社工(bushi)图片

图片

这个就更加直接了 直接写出账号密码

图片

下面这个站点也是一样 直接写出来 白捡2rank图片

弱口令

又掏出我最喜欢的弱口令大法了

admin admin

admin 123456

admin admin123

admin admin888

图片

直接弱口令 admin admin888

图片

啪 直接进入后台图片

再看这个站

图片

是不是很眼熟 没错 就是若依系统

那肯定使用若依经典弱口令 admin admin123

图片

又进去了 然后想测什么测什么

图片

看到这个站我直接掏出 admin admin

哎呦 又进后台了

图片

逻辑漏洞

试过弱口令无果后 我又掏出了我最喜欢的F12大法了 直接看前端js代码有没有泄露什么敏感接口路径啊

图片

这种系统 一眼丁真(bushi) 首先密码直接写在前端 我们找出账号就行了 但是我试了很多账号 无果

于是直接F12

在前端发现了一些有意思的路径

图片

好好好 看到这里其实这个站已经有想法了

随便拼接一个路径 /Home/BWK_Index

图片

我去 直接进入后台 绕过前台登陆进入后台

图片

这是一个学校的统一门户验证 我们试了试前面的方法发现不管用,那就抓个包看看呗

图片

随便输入然后抓包

查看返回包

图片

发现返回了 0 那我改成1试试再发包

图片

OK 直接绕过统一登陆

最后

朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述

1.网安必备全套工具包和源码

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,路线图上的每一个知识点,我都有配套的视频讲解。
在这里插入图片描述

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加护网行动、CTF和挖SRC漏洞的经验和技术要点。
在这里插入图片描述

网安方面的电子书我也收藏了200多本,基本上热门的和经典的我都有,也可以共享。
在这里插入图片描述

4.NISP、CISP等各种证书备考大礼包

在这里插入图片描述

5.CTF项目实战

学习网安技术最忌讳纸上谈兵,而在项目实战中,既能学习又能获得报酬的CTF比赛无疑是最好的试金石!

在这里插入图片描述

6.网安大厂面试题

这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
在这里插入图片描述
朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

寻找你的第一个漏洞
neal1991的专栏
09-02 573
最近 Burp Suite 社区有在收集赏金猎人对于新手的一些建议。其实,相对于国外来说,国内的白帽子的生存环境还是比较恶劣的,和国外相比,国内的白帽子的生存环境还需要进一步提高。如果想...
纪念自己的第一个CVE编号漏洞
weixin_38312031的博客
07-20 2915
纪念自己的第一个CVE编号漏洞
零基础如何学习挖漏洞?看这篇就够了【网络安全
kali_Ma的博客
05-03 2429
有不少阅读过我文章的伙伴都知道,我从事网络安全行业已经好几年,积累了丰富的经验和技能。 在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了安全防护水平。也有很多小伙伴私信问我怎么学?怎么挖漏洞?怎么渗透?
渗透测试--实战若依ruoyi框架
qq_53003652的博客
11-16 8483
最近在挖某src的时候,碰到了一套若依,本以为啥都没有,结果随手一测若依存在的历史漏洞基本都有。是通过很奇怪的信息收集方式找到这个站的,分享出来让大家看看。老司机一看就明白了我在找什么,虽然说机会不大,但偏偏就让我遇到了。
记人生中的第一个edusrc漏洞(低危漏洞)
weixin_60302312的博客
07-23 4769
edusrc注册账号低危漏洞,大佬看看就好(小弟第一写文)写的不好请多包含。
小白如何挖到自己的第一个漏洞
记录开发和安全学习过程中的点点滴滴
04-08 1618
弱口令漏洞是由于使用简单或容易猜测的密码而引起的安全缺陷,它使得攻击者能够通过轻易暴力破解密码,进行登录后台或者用户从而获得未授权访问权限,可能导致数据泄露和接管后台系统等其他安全事件,简单来说,拿到对应权限的账号,从而能够进行操作和使用的权限越大,其实对于弱口令挖掘来说,最基础的就是尝试弱口令,当然如果要进行进一步测试的话,爆破密码只是很简单的一只种,还可以通过在各种例如抖音,小红书,甚至QQ群,公众号等进行身份证,学号等信息搜集,当然如果在允许情况下,也可以进行社工获得一些账号密码,尝试进行进一步测试
网络安全】如何挖到人生中第一个漏洞
anquan2233的博客
08-28 744
有不少阅读过我文章的伙伴都知道,我从事网络安全行业已经好几年,积累了丰富的经验和技能。在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了安全防护水平。也有很多小伙伴私信问我怎么学?怎么挖漏洞?怎么渗透?较合理的途径应该从漏洞利用入手,不妨分析一些公开的CVE漏洞。很多漏洞都有比较好的资料,分析研究的多了,对漏洞的认识自然就不同了,然后再去搞挖掘就会易上手一点!俗话说:“磨刀不误砍柴工”,就是这么个理儿。那么这篇文章就教大家怎么从零到挖漏洞一条龙学习!
巧秒利用fofa挖到第一个漏洞
热门推荐
hackzkaq的博客
07-14 1万+
FOFA是一款非常强大的搜索引擎 关于对于fofa的描述是:FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。 探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。 相对于shodan来说fofa的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。 fofa的功能这么强大,那我们要怎么利用好提供的功能来挖洞呢? fofa官方提供了一些基本语法: 图片 而真正
第一次挖到sql注入漏洞
m0_66300626的博客
12-12 561
刚学到文件上传文件的小白,充满激情的想要去挖漏洞,我就到各学习社区去看别人第一次如何挖漏洞的。第一次我就去尝试挖了某天的公益的SRC,一套信息收集下来,除了官网没有多少可以继续渗透的,很多子网站都是私密访问链接,没办法就放弃了。作为小白,我们真的要积极多看技术文章来提高自己的技术水平,此次漏洞挖掘也是我再浏览一下文章后才进行的,希望今后能不断多方面学习来拔高自己。今天在在谷歌搜索偶然碰到了一个存在sql注入的网站。
如何挖到第一个安全漏洞
05-30
1. 扫描工具:使用自动化扫描工具进行漏洞扫描,如Nessus、Nmap等。 2. 代码审计:对应用程序或系统的代码进行仔细的审计,寻找可能存在的漏洞。 3. 社会工程学:通过社会工程学手段,如钓鱼邮件、电话欺骗等,...
两个月,成为一名可独立挖漏洞的渗透人员
网安技术分享
08-03 2263
“”两个月的时间 ,从小白进阶为有独立能力进行漏洞挖掘的渗透人员应该怎样做?”
学了半年的渗透了,还挖不到漏洞怎么办?
weixin_54787877的博客
03-13 5200
转眼已经3月份了,无论是对于即将毕业的大学生们,还是对于已就业的社会人群,如何择业、转岗,提升技能,成了时下最热门的讨论话题。 近期后台就收到很多粉丝的留言,最多的就是关于:“很迷茫,成为高薪黑客,不知道从哪下手.” “碰到了瓶颈期,不知道如何突破” 更有小伙伴私信:“学了好几个月的渗透,就是挖不到漏洞” 小编后面也去知乎上看了下,存在这种问题的原来还有很多... 更有甚者提出“做渗透如何赚外快” 关于前景,网安毋庸置疑是个吃香的行...
挖到漏洞怎么做
07-23
以下是一个简单的漏洞报告模板示例: ```markdown # 漏洞报告 ## 漏洞名称 SQL注入漏洞 ## 漏洞类型 Web安全 - 输入验证不足 ## 受影响系统 MyApp v2.1.0 ## 漏洞描述 在用户登录接口中,未对输入参数进行过滤...
vue实现页面不断插入内容并且自动滚动功能
weixin_50606255的博客
12-04 206
我们在看视频时经常会看到黑客入侵别人电脑会在屏幕上显示一串代码,并且代码不断插入自动滚动,看起来很厉害的样子,现在就在此纪录实现此功能:
TCP,UDP使用socket编程流程
weixin_46855342的博客
12-01 199
UDP socket编程流;
多厂商配置对齐器:AI 如何在 Cisco / Huawei / Juniper 间做语义映射
oQianYuan的博客
12-03 764
这些模型上的差异,使得简单的“语法级模板替换”永远会失败。“给我一个能阻止外网 SSH 进入财务内网的安全策略,并在所有出口设备上同步生效(Cisco/Huawei/Juniper 各一套)。需特别注意 mask 类型的标准化,AI 内部统一用 CIDR (/24) 或 Wildcard 存储,渲染时再转换。/* 假设 Gi0/0 属于 untrust,内网为 trust */在过去十几年里,不同厂商 CLI 的“语法差异”从来不是最难的问题。AI 在多厂商对齐中的真正价值,是负责把。
【Android逆向工程】第19章:协议分析与接口还原
w987333120的博客
12-03 392
本文介绍了网络协议分析的关键技术与工具。主要内容包括HTTP/HTTPS协议分析流程、常用抓包工具配置(Charles/Burp Suite)、协议格式解析方法以及签名算法还原技术。通过示例展示了完整的请求/响应分析过程,涵盖请求行、请求头、请求体的解析方法,特别关注签名相关字段的识别。文章还提供了Python代码示例演示如何自动分析HTTP请求结构,帮助逆向工程师理解业务逻辑、还原接口签名算法并实现自动化脚本。
深度学习uip中的“psock.c和psock.h”
最新发布
weixin_42550185的博客
12-06 364
本文对uIP协议栈中的psock.c和psock.h文件进行了深度解析和重构,主要改进包括: 重构了protothread协程实现,通过#define宏控制是否替换原有PT协程机制,便于调试和原理分析。新增了状态机变量STATE_NONE等6种状态定义,优化了协程状态管理。 详细注释了关键数据结构: psock_buf结构体管理输入缓冲区 psock结构体包含双PT协程状态、数据指针和缓冲区信息 新增httpd_state结构体管理HTTP连接状态 重点分析了核心功能函数: 缓冲区操作函数(buf_setu
如何解决ws2_32.dll丢失问题:解决网络相关错误和程序崩溃的完美方案
xiaoshuotui的博客
12-02 1035
当你尝试启动一个程序或游戏时,突然遭遇“ws2_32.dll丢失”的错误,这可能会让你的计划受阻。幸运的是,这个问题通常有直接的解决方法。本文将详细介绍如何找出丢失或损坏的ws2_32.dll文件,并提供有效的修复策略,让你的电脑重新运行起来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值