记一次tp3日志泄露->SQL注入
闲来无事,发现身边朋友都在打证书站大学,于是也开始摸索。1.信息收集还是一如既往的从web开始收集,收集各大登录框站点,统一身份认证系统等等(可以通过ARL进行收集,提前一两天让他自己跑)收集到上述站点后,一个很沉重的事实摆在面前(没有账号,无法继续下去)后续我借鉴一位师傅的思路(不记得那位师傅的文章链接)—-》通过全球ping找出对应子域名-真实ip-》hunter进行c端的搜索)可惜也没有什
1