挖洞前的注意事项及定级标准:

定级标准https://src.360.net/help#yi-wan-shou-hu-level
注意一定不能扒库或者搞破坏,渗透前请看看注意事项https://src.sjtu.edu.cn/introduction/

报告模板及必要工具:

漏洞报告模板:
渗透测试报告模板.docx

挖到洞的修复建议:https://www.cnblogs.com/iAmSoScArEd/p/10651947.html

渗透大概流程如下(自行挖掘)
https://www.yuque.com/docs/share/ba94f59d-44bf-4e44-a62f-af6433e5c13f?# 《edu挖洞经验分享》

必要工具:burp sqlamp
快速定位更脆弱的资产https://github.com/broken5/WebAliveScan
goby 扫端口和识别指纹https://gobies.org/
超级弱口令:支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、Redis等服务的弱口令 https://github.com/shack2/SNETCracker
字典https://github.com/TheKingOfDuck/fuzzDicts
目录扫描工具 dirsearch https://github.com/maurosoria/dirsearch/

第一周任务

(分配的网段有洞(我已经挖过) 每周每人起码一个漏洞,报告发我审核)
完成时间:9.6-9.12-9.19(9.10中期检查,9.18晚上或者有空时间段开分享会)
完成要求:按难度分配目标,或者自己挑。每周每人一个漏洞,第一周按难度出洞
学校内网(校园网)
KleeMoe:10.10.60.70-80 (要求getshell) 难度:高
库伊拉:10.10.0.30-40 (要求漏洞为高危)难度:中
Asakurakrypton:10.10.0.230-240 (要求漏洞为高危,可尝试getshell)难度:中
随机分配的,自行发挥
Cx330:10.10.0.10-20
strange.君夜 :10.10.60.150-160
orangecaramel:10.10.60.40-50