免责声明
由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
最近在群里面看到不少小伙伴都对挖洞蛮感兴趣的,在深情哥的指导下,学费了骚操作与思路。今天分享一下利用nday或1day来快速刷洞,上大分!(我是刚学的小菜鸡 ,大佬们勿喷!!!)
Tips: 文末有礼赠送!
0X01
废话不多数,直接开始!
网上那些漏洞,怎么去找他们啊,谁帮我整理整理!(⊙_⊙)?
这里推荐几个平台
无胁科技,这个平台非常不错,对漏洞做了收集,可以方便查找一类漏洞或某个厂商漏洞等,最可观的是它对于收录漏洞,可以查询漏洞状态:POC、EXP、自动化利用
https://tvd.wuthreat.com
PeiQi文库是一个面对网络安全从业者的知识库,涉及漏洞研究,代码审计,CTF夺旗,红蓝对抗等多个安全方向,用于解决安全信息不聚合,安全资料不易找的难题。帮助网络安全从业者共同构建安全的互联网,快速验证并及时修复相关漏洞,为甲方等提出安全建设意见。
http://wiki.peiqi.tech/
平台先介绍到这里。
0X02
在找到自己去利用的nday之后,接下来就是利用fofa、360quake、鹰图等平台进行目标收集。
例如:
OA产品
fofa语法:app="华天动力-OA8000"
这里以fofa举例,当然这里不局限与fofa,还有鹰图、360quake等好平台。
然后使用fofa采集工具,进行资产的采集。
工具下载地址
https://github.com/Summer177/FOFA_GUI
然后查询,导出
0x03
开发功底好的佬,随手搞个脚本刷起来就好了,不过像我们这种小白,还是继续"造轮子"
谷歌、百度、github等找脚本
然后不说也懂了,下载下来刷起来。
0X04
存在漏洞的资产有点多,先交点水点kb
0x05
最后总结一下,利用nday挖漏洞,毕竟还是用别人的东西,最重要的是我们可以去学习这些漏洞的产生原理,分析产生原因,不断的增强自己审计的能力,最后祝各位佬们 天天0day! ! !
最近也是拿到了泛微ecology_9的sql注入脚本,也小打一波。
查看更多src漏洞挖掘报告、漏洞poc信息,请查看”WK安全”知识星球
星球介绍:
星球针对安全新人有优秀学习资源,星球专属嘉宾进行问题解答,
性价比很高。
如果你是入门不久,想要提升漏洞挖掘能力,那该星球是个不错的选择,星球内拥有
专属漏洞报告,
各种奇淫技巧、挖洞技术、专属嘉宾在线问答等。
欢迎您的加入,星球部分内容请你查看!!
回馈大家的热爱与关注,公众号后台留言 "参加活动" ,第100位小伙伴将赠送 "补天鼠标垫一个"(包邮)
活动时间:2023-03-07 0:00 开始,当天下午16:00活动结束,出结果。
原文始发于微信公众号(赤弋安全团队):技巧--利用nday/1day快速批量刷洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论