渗透测试小技巧（渗透测试入门教程）

1、首先进行信息收集越多对后面的渗透测试就越有帮助，记住：信息收集是渗透测试第一步，也是最重要的一步！whois，旁站子域，服务器端口，操作系统版本，web中间件以及waf与cdn，通过google与github看看是否存在已知的漏洞这样有助于快速的获得权限。

2、弱口令是一个亘古不变的问题，永远不会改变。可能后台弱口令被改掉了，可是一个公司这么多员工，可能有员工没有改自己原先的弱密码...或者公司一些设备没有改掉默认密码...所以一个好用的密码字典显得尤其关键！使用一些工具生成密码，不一定使用top1000弱口令那些，配合上 Hydra 或者其他好用点的爆破工具的使用，常常能够有不错的收获。

3、验证码简单绕过：重复使用，万能验证码（0000,8888），空验证码，验证码可识别（可用PKAV HTTP Fuzzer工具识别等）

4、短信轰炸绕过：手机号前加+86有可能会绕过，手机号输入邮箱，邮箱处输入手机号

5、在JS文件中搜索关键字API，Swagger UI等等，尝试寻找API接口地址。

6、信息收集，在搜狗搜索中选择微信可以搜索相关企业相关公众号资产。

进谷歌 找注入没注入 就旁注没旁注 用0day没0day 猜目录没目录 就嗅探爆账户 找后台传小马 放大马拿权限 挂页面放暗链 清数据渗透企业实战版搞企业 先扫描扫描器 商业好默密码 都知道社工库 找一找邮箱号 先列好九头蛇 跑一跑搞不定 放大招找插件 挖一挖发邮件 凭伪造没邮箱 搞网站二级域 皆可爆老漏洞 没修好新漏洞 刷一票干研发 Git 找源代码 全都要C D N 可以跳防火墙 可以撬堡垒机 可以秒云防护 可以秒是企业 没有哪家搞不了！

8、找回密码可能存在的漏洞：任意用户密码重置、直接跳过验证码验证、短信邮箱轰炸/短信邮箱劫持、验证码手机用户未统一验证

9、一些交易设计缺陷可以直接修改订单金额，金额直接传输导致篡改：直接对下单的金额进行修改值，这里可以使用fd或者burp抓包。

10、 渗透时尽量不要暴露自己的 IP 地址，挂代理是必须的。（当然了，必须要经过授权才能进行渗透测试）

linux 下要查看自己终端是否走代理可以 curl https://ifconfig.me/ 看下返回的 IP 地址windows 就直接访问 ip.skk.moe 即可

11、访问网站更改请求头，插件User-Agent switch，修改UA，可以更改请求方式访问安卓、iPhone、PC等可以访问的页面，可能会访问到浏览器访问不到的信息。

12、js里可能有注释掉的测试账号密码

13、 信息收集的时候可以使用fofa查看证书看是否是真实IP 语法 cert="baidu.com"

14、一些实用的浏览器插件

Ajax Interceptor：可以自定义ajax的json返回值，前端测试用。Anti-HoneyPot：红队用，可以检查网页中的蜜罐链接并提示。ApiRequest.io Ajax Capture Debugging Tool：这个是神器！！强推，可以测试网页中任何的ajax请求包括跨站ajax请求重放，官网提供了只30天的请求历史记录记得保存重要请求。

Decentraleyes：可以拦截一些cdn和本地的文件跟踪器APK Downloader for Google Play Store ：免google框架在线下载应用商店的app。Buster Captcha Solver for Humans：过goole验证码，有时候识别会比较慢。

Easy WebRTC Block：干掉webrtc的ip回显，避免泄露真实ip，可以配合dnscrypt把dns泄露也保护了。

IP Whois & Flags Chrome & Websites Rating：自动在后台测试当前网站ip的归属地然后以小图标的形式返回给前台非常便捷，点击进去还可以看到cdn以及whois信息。NoScript: 慎用，此插件可以强力的拦截网页上的追踪器来保护用户的隐私与真实信息，但是会造成许多网站打开异常。

Identify web technologies ：可以帮你分析当前网站所使用的网络技术与框架。

Shodan：网络搜索引擎同fofa与钟馗之眼，互联网设备大杀器

Picture-in-Picture Extension：画中画悬浮窗口看视频SourceDetector：可以再后台默默的扫描是否有源代码泄露HackTools：方便懒人使用点击扩展可快速复制sql，xss，反弹shell。FindSomething :基于浏览器插件的被动式信息提取工具

15、在渗透测试时候，发现有某个html标签调用服务器内图片的，并且是那种加入服务器ip地址，可以通过修改host头来fuzz一下，看看下是否存在xss。

16、一个 cat ~/.bash_history 命令有时候可能会给你带来一些惊喜

17、测试注入的时候,可以psot/get更换，自定义一些参数，删除一些参数，加上分块，以及burp有时候有这种口口符号，可以删除再测试payload。

18、Oneforall、Teemo、subDomainsBrute这三款工具基本上已经满足了搜集子域名的所有需求，包括枚举、证书、DNS、威胁情报、搜索引擎等多个方面获取信息。

19、一些waf防止执行敏感信息，进行base64编码，可以将二进制数据编码为ASCII字符串。Base64编码通常不会被WAF检测到。

20、在找回密码处，填写数据后抓包查看返回信息，有可能存在敏感数据返回。

21、关注网页源代码，有时候会有表单信息，但是被bidden(隐藏标签)给隐藏起来了，可以修改返回包然后尝试获取数据检测多个账号，主要分析请求参数。