声明

本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与文章作者无关！

前言

渗透工具是这场网络安全探险不可或缺的“飞船”与“武器”，然而，无需借助工具，直接对网站进行渗透还是比较有挑战性的，最近一个星期基本都是这样，拿手机渗透，或者打开电脑一个浏览器打遍天下。

手工测试

打开网站，发现图片直接右键新建连接

直接把png文件图片取消进行访问，目录浏览直接拿下

像上述这种存在目录浏览，一般情况下网站还有，这里直接通过搜索相关接口，直接发现另一个接口image_data，直接访问发现同样进行目录浏览，就是这么容易

这里另一个网站，同样是如上述一样试了一下目录浏览，但是没有成功，那么这里直接就搜索相关接口如/api，/upload啥的，基本都可能存在漏洞，这里直接搜索/api，发现还是比较多接口的

这里挨个进行查看，发现一个_Get接口

直接访问发现需要传入两个参数，像这种情况直接提示的你可以直接传参就可以了，如果没有传参的话你可以去找找js文件里面有没有相应的代码，再不济就借助工具爆破一下接口也行

这里传入接口直接添加单引号发现保存了

那再添加一个单引号，发现直接进行闭合，哈哈哈，注入不就来了

这里直接用sqlmap测试，也不管工不工具了，测试出漏洞才是真的，哎嘿。

直接验证成功，数据为Oracle

再跑下用户名也是没有问题的，这个完全就是没有防护嘛

这里还有另外的接口同样存在Sql注入，就不一一测试了

这个如果不借助工具的情况运气也得有，不然还真发现不了，我直接在网站后面任意拼接几个常用的参数，发现upload成功了，而且直接回显hhh

更神奇的是后面还有一个.svn文件泄露

而且通过测试发现这个网站系统还是一个通用型漏洞，捡到了，hhh

这个还是目录浏览并且也是通用型，不过需要登录进去才能发现那个网站，这里先登录进去后发现有一个可能点可以下载xls文件，而且鼠标悬浮上去发现是跳转至另一个网站进行下载。

直接复制xls连接，另外打开一个窗口进行访问，发现成功访问，又是目录浏览了

且xls连接文件也是直接下载

这个也是一个通用型漏洞，只要使用这个系统都有，直接打开网站源码查看即可发现存在key

网上直接找payload，访问成功回显位置，说明key是正确的

restapi.amap.com/v3/geocode/regeo?key=55208xxxxxxxxx1271&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS

原文始发于微信公众号（蓝云Sec）：记一次禁止使用工具下的渗透测试