2024渗透工程化流程.pptx

渗透工程化流程

一挖洞的意义1网络更加安全2一定的收入3爱好

二How1爆破，刷弱口令2抓包，刷越权3使用网上的工具验证某个url存在命令执行，or注入浪费每天看小姐姐的时间刷着没有什么技术含量的漏洞

设想二十年之后1你还会刷着爆破，弱口令？2你还会抓包，刷越权？3你还xxx

1渗透流程化2流程工程化3工程代码化一人代表一个团

渗透1资产不依赖zoomeye，fofa等第三方资产（前期可以依赖，最终形态是不依赖）2扫描架构推荐：魔方-MagiCudeGithub：/er10yi/MagiCude识别不具有参考意义的自动化工具：a框架是python，go，php写的B扫描数据或者资产存在MongoDB里不是小孩子写的就是运维（要开发不是开发，要安全不是安全）写的3POC具有别人没有的poc，需要具有高超的安全能力，或者安全敏锐度，例如：自己不是安全人才，但是身边的人是，

渗透-资产

渗透-POCorEXP

渗透-POCorEXP

渗透-POCorEXP

自动化1渗透自动化1.1扫描资产1.2识别漏洞2提交自动化2.1漏洞模板化2.2自动复现漏洞，自动截图保存（tip：cmd交互+截图不受控制，那就干脆造一个cmd出来）2.3补充漏洞其他信息，提交漏洞

我想六十年之后，某台云服务器还运行着我的系统，还做着我年轻时候的事

建议1如果你不缺钱，就别挖洞，好好学习，好好写代码，因为代码会告诉你，挖1000个洞和挖1个的时间几乎一样。2如果你是高中生，别挖洞，好好学习，考个好大学。因为25岁的你会后悔当初没好好学习3如果你是大学生，不要熬夜挖洞，好好学习，找个女朋友，因为25岁的你会后悔当初只看到了那点奖金。

非常感谢大家的聆听