png

具体有哪些权限需要掌握

  • 后台权限:(获得方式:爆破,注入猜解,弱口令等获取的账号密码配合登录)

    一般网站或后台只能操作应用的界面内容数据图片等信息,无法操作程序的源代码或服务器上的资源文件(如后台功能存在文件操作的话也可以操作文件数据)

  • 网站权限:(获得方式:以上三种思路获取)

    查看或修改程序源代码,可以进行网站或应用的配置文件读取(接口配置信息,数据库配置信息等),还能收集服务器操作系统相关的信息,为后续系统提权做准备

  • 数据库权限:
    操作数据库的权限,数据库的增删改等,源码或配置文件泄露,也可能是网站权限(webshell)进行的数据库配置文件读取获得

  • 接口权限:(邮件,短信,支付,第三方登录)

    后台或网站权限后的获取途径了后台(修改配置信息功能点),网站权限(查看配置文件获取)

  • 系统权限

  • 域控权限