序
...
插件分享
浏览器插件
不上图了 图床有点问题
(1)----Open Multiple URLs 可以批量打开子域名
谷歌浏览器:https://chromewebstore.google.com/detail/open-multiple-urls/oifijhaokejakekmnjmphonojcfkpbbh
火狐浏览器:https://addons.mozilla.org/zh-CN/firefox/addon/open-multiple-urls/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search
(2)---提取网页中的/js文件内的 URL以及子域名/敏感信息等 使用这款插件 FindSomething
谷歌浏览器:https://chrome.google.com/webstore/detail/findsomething/kfhniponecokdefffkpagipffdefeldb?hl=zh-CN
火狐浏览器:https://addons.mozilla.org/zh-CN/firefox/addon/findsomething/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search
(3)提取网页中的/js文件内的 云安全相关秘钥等 使用这款插件 Trufflehog
GitHub下载:https://github.com/trufflesecurity/trufflehog
(4)简单的指纹识别 使用这款插件 Wappalyzer
谷歌浏览器:https://chrome.google.com/webstore/detail/wappalyzer-technology-pro/gppongmhjkpfnbhagpmjfkannfbllamg?hl=zh-CN
火狐浏览器:https://addons.mozilla.org/zh-CN/firefox/addon/wappalyzer/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search
burpsuite插件
(1)首推HAE Highlighter and Extractor burp商店里有的下载
找一些敏感信息 我推荐把以下关键字加上 对于挖掘XSS和URL跳转有奇效 具体正则让GPT写
phpinfo
callback=
cb=
curl
domain=
linkto=
u=
v=
r=
link=
src=
jump=
url=
redirect_url
redirect_to
redirect
to=
target=
jump_to=
(2)JS Miner
也是找一些敏感信息的 被动扫描 要在Dashboard模块看效果
(3)Turbo Intruder
并发插件 新版得使用如下代码
需要在并发插件的请求包中加上 x-req:%s 标志
def queueRequests(target, wordlists):
engine = RequestEngine(endpoint=target.endpoint,
concurrentConnections=40,
requestsPerConnection=200,
pipeline=False
)
# the 'gate' argument blocks the final byte of each request until openGate is invoked
for i in range(40):
engine.queue(target.req, target.baseInput, gate='race1')
# wait until every 'race1' tagged request is ready
# then send the final byte of each request
# (this method is non-blocking, just like queue)
engine.openGate('race1')
engine.complete(timeout=60)
def handleResponse(req, interesting):
table.add(req)
(4)403 Bypasser
403 bypass 要在Dashboard模块看效果
(5)xia SQL
挖掘SQL注入 大厂也是有SQL注入和弱口令的 但SQL注入我基本不会...挖CNVD通用到有收货 但重复...
https://mp.weixin.qq.com/s/35SB9bCvNQ2I41M1ghC5Aw 来自公众号: 猎洞时刻 插件作者:算命瞎子
其实关于xiaSQL这个插件好像也能实现自动化探测XSS 自定义payload中添加一些">ccc '">ccc等 自行研究吧
非常牛逼的一款插件!!!
(6)AutoRepeater
自动化挖掘SSRF 用的不多 详情使用请自行搜索微信文章
下载链接:
https://github.com/Lotus6/AutoRepeater
URL重定向案例
常见功能点
登录注册 收藏分享 支付页面 授权页面等
提取到的URL
burpsuite中的302状态码
以及一些请求包中带http https的链接 注意看看能不能ssrf
常用绕过
%2f%09%2fqq.com %252f@qq.com %2f@qq.com %252f@qq.com %25252f@qq.com
改协议 http://baidu.com https://baidu.com www.baidu.com baidu.com
多级子域名 xxx.test.com.qq.com
域名转IP地址 域名转数字
(1)---检测域名绕过
尝试给其URL添加https://www.test.cn URL变成:https://a.test.cn/?cb=https://www.test.cn 发现能成功跳转
【以上文字中的https://www.test.cn是主域名 https://a.test.cn是子域名】
这里没有屏蔽@符号 但检测@符号后面的字符串 使用@www.test.cn.qq.com 即可绕过
(2)---URL重定向bypass
使用 %252@baidu.com 成功绕过
(3)---URL重定向bypass
使用%2f%09%2fbaidu.com 成功绕过
(4)URL重定向转反射XSS
使用javascript:alert(document.cookie) 将其转换为反射xss 具体看js代码 这里就不上图了
反射XSS
常见功能点
burpsuite的HAE敏感关键字
URL中的传参值
谷歌语法
需要注意的是:能造成反射XSS的返回包文件类型一定得是: text/html jsonp 的 (上传类造成的XSS除外)
【以上是个人拙见 如有补充欢迎评论】
挖掘步骤:
(1) 寻找符合造成反射/存储XSS的文件类型 找参数点输无意义字符 aaa 没带入则跑撸下一个 带入则下一步
(2) 无意义字符被带入了 输入<u>aaa</u> 看看会不会实体化 不会则下一步 会则跑撸
(3) 查看其带入标签的位置 推荐使用burpsuite的repeater模块操作 搜索 定位其点 分析源码
(4) 闭合标签或JS打POC 实际情况实际操作 当然也有可能要绕WAF(绕WAF请看以下推荐文章)
挖掘XSS的要点就是: 发现参数点+运气 对标签、JS事件/函数的fuzz WAF的绕过 推荐使用burpsuite的XSS备忘录:https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
一些关于XSS绕过的文章
https://mp.weixin.qq.com/s/x6nGXKgFdQJLlOPI5upydQ 来自公众号: 安全客
https://mp.weixin.qq.com/s/B8LzvaTYNkypCZGd0XWUgg 来自公众号: 安全客
https://mp.weixin.qq.com/s/9xN4VDHtTXQ-ia8ON21mug 来自公众号: 海底生残月
https://mp.weixin.qq.com/s/zkOsLSvCHKehsN1D2H0FOw 来自公众号: 编码安全研究
https://mp.weixin.qq.com/s/b_vqVigF12xOQmE5xyZk3g 来自公众号: ForOne安全
常用POC
更多POC请参考burpsuite靶场的XSS POC备忘录
// /可以代替空格
<a/href='javascript:top[`alert`](1)'>bbb</a>
<a/href='javascript:window.self[`\x61\x6c\x65\x72\x74`](1);'>bbb</a>
// JS中的window全局函数top
<a href="javascript:top['aler'+'t'](1)">aaa</a>
// 屏蔽alter 使用console.log confirm等函数验证
<a/href="javascript:confirm()">确认</a><br/>
<a href="jAvascript:x:window.self['a'+'l'+'e'+'rt'](1);">test</a>
<a href='javascript:x:window.self["\x61\x6c\x65\x72\x74"](document.cookie);'>test</a>
<svg onload="javascript:x:window.self['a'+'l'+'e'+'rt'](1)">
<img src="asdsaddd"onerror="javascript:s:window.self['a'+'l'+'e'+'rt'](33)">
<svg oNload="javascript:top['alert'](10)">
</script%0A/> // 能够闭合script标签 也可以试试%0a %20等 如果需要闭合json 成功闭合但是js语句没执行的话 可以在js语句前加%0a 换行用的
'-alert()-'
"-alert()-"
(1)---方法名处的XSS
这不是我挖的 是一位挖XSS很牛的师傅挖的 我试图去窥探一丝奥秘 在此十分感谢她。
使用了 '-alert()-' 触发反射XSS
把-号替换为*号也行
这是它的JS代码
if($(this).attr("key") == "xxx"){
location.href='/aaa/bbb.do?type=xxx'
}
$(this).attr(key); 获取节点属性名的值 把'-alert()-'带入进去了
不会jQuery的写法 这里使用原生的JS做测试
本地测试
至于- * 是四则运算 会先执行js代码 这里本地演示 看代码
会先执行alert(1)
*同理
以上讲解是小弟的个人拙见,如有不对欢迎师傅指出!感谢。
(2)---callback的反射XSS
一个callback的回调 返回的文件类型是HTML
(3)---POST型XSS
一个POST处的XSS
尝试将其转换为GET方法去发送 对标签进行了实体化 那么只能生成CSRF POC在线链接去打
CSRF在线链接
这里设置访问自动提交
复制在线链接
(4)---闭合script标签的反射XSS
一个闭合script标签的实例
文字说明
其中pro和ref参数用户可输入 pro的参数会传递两个 一个是json里的pro 一个是new里的参数
最初我是在pro参数处进行构造闭合script标签 返回包复制在本地执行会发现new错误 没有这个对象
于是尝试在ref参数中构造 其中waf过滤了
尝试了大小写 尝试%0a </s%0aript> waf会进行过滤 最终在标签的最后面加%0A/成功绕过 %0A会被拦截 %0A/不会被拦截 很奇怪
最终payload 1"};console.log(document.cookie);</script%0A/>
<script type="text/javascript">
var xx = new XX.report.Analytics("ccc","1111");
var loginData = {
pro : "ccc",
rso : "from_explorer",
gam : "JJ",
gse : "117",
pas : "2221231333",
uid : "xxx",
ref : "1"};console.log(1);</script
本地演示
这里没有XX这个类 就将这行代码删除了 var xx = new XX.report.Analytics("ccc","1111");
(5)---后台输入 前台输出的反射XSS
一个后台收藏夹的功能 这里可以看到输入XSSPOC后不被解析
当我们去前台商品页给商品添加购物车时发现被解析了
成功触发XSS
技巧:
熟悉功能点 心细
(6)---由JS进行实体化的存储型XSS
一个存储型XSS
这里使用u标签探测是否实体化 发现实体化了
抓包看看
发现它把u标签去掉了 在此之前并没有请求包发送 说明是前端替换的
这时直接把请求包中的p标签改为u标签看效果即可
成功解析
WAF都没有 直接打
再重复一遍: **挖掘XSS的要点就是: 发现参数点+**运气 对标签、JS事件/函数的fuzz WAF的绕过 推荐使用burpsuite的XSS备忘录:https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
(7)---上传文件造成的XSS
关于上传文件造成的XSS 有些厂商是不收的 上传至OSS上的也可以提交试试
常用的有后缀格式有
html svg pdf
html文件
正常填写js代码即可
svg
<svg xmlns="http://www.w3.org/2000/svg" version="1.1">
<circle cx="100" cy="50" r="40" stroke="black" stroke-width="2" fill="red" />
<script>JS代码</script>
</svg>
网上搜搜文章看看咋写吧 这里不写了
当然还有其他文件后缀能解析HTML/JS 自行搜索
后缀名绕过
一般以上三种后缀的文件 我都会把他们本地后缀改为.png或jpg 上传时再使用burpsuite抓包改为原后缀
逻辑缺陷
逻辑漏洞能说的太多太多了 从而让我不知道从哪说起 这里推荐一篇采访月神讲解逻辑漏洞的文章 前辈的功力深不可测 https://mp.weixin.qq.com/s/-r1oWQb_oS8jEMdJs9Ct_g 来自公众号:京东安全应急响应中心
也可以上乌云漏洞镜像库上多看看前辈的姿势
直接上案例吧
(1)---某CNVD逻辑缺陷案例
开局一个登录框
1.探测用户名
输入admin1 提示用户名不存在
输入admin提示密码错误
此时密码错误的返回包
<?xml version="1.0" encoding="utf-8"?><userCheck><statusValue>401</statusValue><statusString>errpasswd</statusString></userCheck>
这里只需将401改为200即可登录进后台
怎么发现是200的?
1.常见的就是200
2.找到一个弱口令登录进去看返回包发现是200
其实发现了main.xxx直接进去也行 未授权访问
(2)某CNVD逻辑缺陷案例
同案例(1)
改为{"status":"ok","data":""}即可
(3)某CNVD逻辑缺陷案例---二次验证
上面的两个案例都是一次前端验证 当然以上两个案例直接访问后台的某些页面也能直接进去
还是一个登录框
第一次逻辑缺陷 登录时密码错误状态码返回0 改为1即可
之后会来到第二次验证 这里的name原先为null 改为admin即可
(4)逻辑缺陷
不上图了 文字描述吧
某直播网站上 发弹幕处 小表情 有些是免费的 有些是需要达到一定等级或者vip用户才能发送
例如 免费用户能发表 大笑/:D vip用户能发表 大笑/!NDX
那么这里假设微笑表情的数据包内容是 “content”:”[大笑/:D]”
那么我们使用爵位专属中的表情包 数据包的内容即是 “content”:”[大笑/!NDX]”
直接修改数据包即可
(5)后台逻辑缺陷+CSRF
文字描述
后台下载个人信息功能 发送到某个邮箱 需要验证码才能下载
输入任意验证码 将其返回包修改为 {"code":200}绕过
产生一个发送个人信息的数据包 将这个数据包发送到csrf插件上 生成csrfpoc即可 【因为这里是post的】
同CNVD案例类似 这种挺多的 遇到几个了
(6)登录框逻辑缺陷
任意用户注册
直接描述吧 正常注册一个用户 观察其返回包 然后随意账号修改其返回包即可
逻辑漏洞
逻辑漏洞多关注的点无非就是有数据出现 增删改查的功能点以及数据包
直接看案例吧
(1)逻辑漏洞---四位数验证码爆破
这是一个四位数验证码导致的任意用户登录 可惜的是子公司 不收子公司
使用如下python脚本生成四位数验证码txt 后续进行爆破要用
with open('4weis.txt', 'a') as f:
for i in range(10000):
code = str(i).zfill(4)
f.write(code + "\n")
前台登录
是怎么发现这个漏洞的?
开始先给自己手机号发送一条验证码 发现是四位数验证码 五分钟的时效性 这里假如正确的验证码是1355 那么我将其发送到Inturder模块 从1300-1400爆破 发现爆破成功 初步怀疑其存在任意注册用户登录
之后正常从0001爆破至9999即可
(2)逻辑漏洞---免邮购参数fuzz
这里的商品价格是2.2元 邮费是5元
这里能选择的有几个快递 其中5元运费的数据包的快递传参值为 271 将其改为200即完成了免邮购
怎么发现这个参数改为200即可完成免邮购?
1.如果能重复下单的话 可以将这个购买数据包发送到Intruder模块 爆破快递传参值
2.这个案例是不支持重复下单的 关于为什么改200 是猜测的 这个200参数大概是开发人员所留下的
关于挖支付类的逻辑漏洞 感觉就是对参数的增删改查
并发
关于并发无非就是对数据产生变动的地方进行并发
我挖过的点
点赞 下单 领取 短信验证码 邮箱验证码等
(1)关注功能的并发
在一次测试中发现能够关注自己 并发一波 成功涨粉 当然 取消关注也可以进行测试
(2)提现/兑换等功能的并发
感觉不适合上图 反正并发记住一句话就行了 无非就是对数据产生变动的地方进行并发
(3)并发带sing值
1.手动卡包
2.JS逆向sing
3.sing值不校验 每次抓包把sing保存起来爆破
云安全
关于云安全挖的不多 无非就是收尾时关注下burpsuite的Dashboard模块中的数据包有无JS Miner插件配合HAE找出的ak/sk/appkey/appSecret/appid/secret等
以及上传功能点/JS中会有可能出现的ak/sk
接管工具推荐
行云管家:https://yun.cloudbility.com/login.html
cf_v0.5.0:自行搜索微信文章
oss-browser:自行搜索微信文章
微信appid以及secret泄露 接口使用:
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=appid%E5%80%BC&secret=secret%E5%80%BC
钉钉appkey以及appsecret泄露 接口使用:
https://oapi.dingtalk.com/gettoken?appkey=key&appsecret=secret
其他自行搜索 挖的不多
吃钱技巧
关于这个技巧 也是从 (1)---方法名处的XSS 那个大师傅那领悟的 以前总是挖到就着急交洞 心急吃不到热豆腐 可我到现在还心急...
PC站出洞了 浏览器转为H5的看看 幸运的话域名变为了m.test.com 吃两份钱 运气再爆棚的话 小程序 APP PC端都可以去看看
建议是挖到洞后 按照以上方法走一遍 之后去fofa搜搜存在漏洞的域名 运气好也会有个test.xx.test.com
还有一些接口 也是几个站通用的 还得是看厂商开发咋写
交洞不要着急就对了
漏洞有争议
让GPT写危害就行了 吵不过那就没办法
学习方法
学习方法
开发: 不会开发的我 感觉我连个脚本小子都不是...
文章: 多看看前辈的一些输出文章 国内一些大SRC的榜单前辈 谷歌搜名字就行了 多多少少能找到点经验看 以及一些微信公众号 国外文章
报告: 国外的一些报告hackerone等 乌云漏洞库 油管 推特 台湾省的漏洞库 类似于乌云
链接:https://zeroday.hitcon.org/
多挖多交流: 量变形成质变 每个人的思路想法都是不同的 不要把自己局限了 可我好像把自己局限了....
- END -
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
583
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
