靶机=肉鸡？细思极恐

0x00:简介

总所周知，很多安全测试人员会去搭建靶机去练习自己的 骚操作 技术，然后再去刷SRC，一步一步的走上 不归路 人生巅峰。

但是很多靶机开放在公网，并且还是弱口令的情况下，很容易被恶意攻击者去利用。

我是渗透测试人员

具体是什么员？

是我想成为你家庭的一员

你好会哦

0x01:举个栗子

一、最最最最常见的 DVWA

登陆后把安全等级改成 LOW

然后 就通过上传木马可以骑上我心爱的小木马了

发现有前辈的痕迹

好家伙！！

说不定有很多人

上了这辆车了

Fofa走一走

截图发文

目前有接近1300个的DVWA的靶机在线

二、Pikachu (不用登陆，直接能。。)

也有了前辈们的痕迹

好家伙

Fofa走一走

截图发文

目前有接近200个的靶机在线

三、bwapp 🐝 （蜜蜂 蜇人那种）

登陆后更改一下安全设置

这里就刷卡可以上公交车 我心爱的小木马

Fofa走一走

截图发文

目前有220个的靶机在线

0x02:话外音

1、其实有很多的靶机类型：比如vulnhub靶机、CTF6靶机等等。

2、只要你把靶机开放到公网，你的靶机也是别人的靶机，你的靶机也是别人的肉鸡。

3、Windows靶机也很大一部分都是直接用Administrator权限直接部署的，Linux靶机比较好一点，是用低权限部署的。

4、本文测试只是在本地搭建服务器进行安全测试。谨记网络安全法，请勿恶意利用本文行为进行恶意的网络攻击，恶意攻击行为者，本人不负承担任何责任。任何恶意行为，后果自负。净化网络安全，人人有责。