信息收集
edu证书站这么多年已经被各种大佬轮了不下几十遍了,所以各种思路也是被玩烂了。现在无非这几种方法:
找账号进统一系统----->找各种洞
子域名,ip旁站
搞vpn账号打内网
公众号小程序(也是本人目前搞的最多的方法
).
定位目标
数据库语句类似:select * from user order by asc
★
原文始发于微信公众号(渗透安全团队):实战 | wx某小程序证书站绕过SQL注入
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论