**来论坛大半年了，发个处女贴试试水（两处信息泄露，并成功进入后台）。**#CTL{\n}**首先声明授权测试很重要，禁止非法日站**#CTL{\n}一、对方就给了一个目标单位的名称，那我们首先要做的肯定就是信息收集。whois、端口、子域名、c段、邮箱、手机号......#CTL{\n}**第一处信息泄露：**#CTL{\n}我先是通过子域名收集到了好几个资产。其中有一个可以fuzz出手机号。步