文章总结： 本文记录了一次上线前授权渗透测试全过程。目标为登录系统，通过字典爆破获取大量弱口令账号，登录参数存在SQL注入，目录扫描发现敏感路径，系统内还存在XSS和检索处SQL注入。文章展示了完整测试流程但技术细节有限，最终顺利发现多处漏洞并完成测试。 综合评分： 70 文章分类： 渗透测试,实战经验,WEB安全,漏洞分析

从头顺到尾的渗透测试

原创

pippybear pippybear

安全无界

2026年3月9日 22:48 上海

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是挺久之前的一次授权渗透测试了，目标系统需要做一个上线前渗透测试，还是一如既往的配方，不给测试账号，自己捣鼓。

系统还是老样子，一个登录系统，如下。

但是这次很显然，有一点不太一样，那就是比起以往那真是顺利的不要太多，祖传字典一打就通，大量的弱口令账号拿到手软，开局就可以结束啦，哈哈，开玩笑开玩笑。

看着这登录的参数，情不自禁又想试一手SQL注入，结果一试就有，好家伙，今天适合买彩票呀。

直接拿host又跑了一波目录，结果依旧有东西，还真是试啥有啥呀，要是赏金项目也这么丝滑该多好（不过真遇到，我一般都会怀疑是地雷，或者早就被提了，都被干不自信了）。

登录进去的测试这里就不放图了，内容比较敏感，可以这么说XSS、检索处SQL注入，不该有的它都有，看来开发老哥是想给我制造快乐，不过该说不说，我确实测的很快乐，这才叫测试嘛，打完收工。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear pippybear《从头顺到尾的渗透测试》