记某次攻防暴肝的一夜

主要观点总结

本文描述了一个安全测试人员在公众号狐狸说安全所提供的信息基础上，通过信息收集将目标放在小程序上，通过SQL注入攻击获取大量数据的故事。文中详细描述了测试人员发现注入点、收集域名资产、寻找数据库的过程，并最终获取多个网站的权限和数据库权限，突破了隔离，还发现了未授权的redis和web系统的弱口令。

关键观点总结

关键观点1: 免责声明和背景介绍

文章开头强调了由于利用公众号狐狸说安全提供的信息而造成的任何后果及损失由使用者本人负责，并介绍了测试人员的背景及测试目标。

关键观点2: 信息收集与攻击过程

测试人员通过信息收集确定了攻击目标小程序，发现注入点后进行了长时间的数据库搜索和挖掘，通过SQL注入获取了大量数据。

关键观点3: 发现API接口和后台漏洞

测试人员在数据包中注意到调用的API接口，并利用此接口获取了更多的信息，同时发现了web后台的多个漏洞和未授权系统。

关键观点4: 获取权限与突破隔离

测试人员通过不断尝试获得了多个网站的权限和数据库权限，突破了隔离，并发现了未授权的redis和一个web系统的弱口令。

关键观点5: 攻击成果和结束

最终，测试人员完成了整个攻击链路，获得了大量数据并结束了攻击。文中还提到了测试人员的疲惫和对攻击过程的反思。