有些朋友在渗透时扫描到后台登陆界面，却不知道如何入手。最近刚好在某公司做渗透实习，对目标固定的系统渗透有些体会。因此这里讲一下对网站后台登陆界面的渗透思路，希望能为大家提供一些帮助。 本人在进入登陆界面时，一般都是先用万能密码什么的测下输入框有没有注入（现在很少见了）。如果没有…

GitHub：https://github.1.输入admin admin 2.打开burp点击Login进行抓包 3.右键发送数据包到Intruder模块 4.进入到Intruder模块的Positions模块中，先点击clear清除数据包中自动标记的变量，然后选中我们需要爆破...

分享余弦老师的渗透利器有：Firefox 下，Chrome 下，前端渗透工具，HTTP 代理工具，漏洞扫描工具.......

前言 遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限 信息搜集 先进行常规的信息搜集，子域名扫描、端口扫描、目录扫描等 这个站