题目特征明显
- 代码审计
- 文件包含
- 文件上传
- 题目特征不明显
SQL注入(登录框,变化的url参数)
F12源码分析(代码注释提示)
隐藏路径(了解服务器的信息隐藏的配置文件,自己进行推理)
登录后台类型(伪造本地地址,爆破,万能密码,cookie欺骗)
============================================
常用方法
- 看源码
可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。
- 抓包
这几天接触到的抓包一般是用burpsuite,如果要多次尝试可以右键【send to Repeater】,如果要对某个字段爆破可以右键【send to Intruder】,还有一个【send to Repeater】这是我比较常用的几种burpsuite的功能。
谷歌浏览器:F12-Network-勾选【Preserve log】,也可以方便查看请求包和响应包的数据(包头字段和网页数据等)。
- 关注的几个地方
有时候打开网页后感觉没有可疑的地方,首先查看下源代码,看有没有注释之类的提示信息,之后重新打开网页,抓抓包看下请求包响应包的包头数据有没有可疑的地方。
- include漏洞
遇到php代码中有include($file)的,一般和 php:
php://filter/read=convert.base64-encoding/resource=文件名(如index.php)
- 代码审计
需要多次动态调试来尝试,以及要关注里面出现的函数,出现在关键位置的函数一般都是有用的,搜索一下有没有相关的漏洞。
还有一些和数据处理有关的绕过,如md5函数结果相等(0ed+)的比较,以及strcmp(array,string)=null,除了遇到时多百度之外,平时也需要多积累到时候才能想到。
还有GET参数构造的时候如果传入的是数组要记得加[],?txt[]=[1,2,3],如果填?txt=[1,2,3]似乎不会被当做array处理。
6.编码
JS的几种编码(如JSFUCK)都可以在浏览器F12之后的控制台执行,这样可以省去找解密网站的时间。