非法网站的渗透思路及思路总结

0x00 非法站点渗透思路总结

一些东西有点多就没有没写上去，先这样吧，后期会全部完善。

0x01 个人所遇到的非法站点一部分失败经验分享

2018年做的渗透测试

从18年开始说吧，因为有一个印象比较深刻的

一个全国最大的恋童癖网站渗透结果 ---- 失败

人员方面没任何信息，经渗透判断为无漏洞（其他大佬做了好像也没什么收获，感觉应该是不够上心吧，也不怪他们毕竟没有钱）。

这应该是最失败的一次渗透吧，深刻感受到自己的菜。

2019年做的渗透测试

这一年多数做掉的都是色情网站，传销盘，资金盘，部分BC及QP（这一年暂无失败，运气比较好）。

2020年做的渗透测试

这一年手头上的任务就更加有难度了

这一年百分之70非法站点的都是从人上面入手解决的。

比较难的一个站点是WAF + 代码过滤的双重绕过还算可以绕过去了，没找到后台地址最终不了了之。

2021年做的渗透测试

明显感觉到整体安全性提升不少，大漏洞没有，小漏洞没用，工作人员安全意识增强，面对数不清的杀软和WAF，跟绕不完的CDN，颇感疲惫。

看了很多因为电诈和赌博家破人亡的事情，咬了咬牙还是继续走下去吧，一个人累点总比无数个家庭破灭好一些。

0x02 最后说点什么

1.有大佬愿意分享经验的，可以评论留言。

2.有需要经验的，也可以多多关注。

3.以上思路对于正常渗透测试也可行。

点赞，转发，在看